我正在从 php-login.net 修改登录脚本并试图使其更安全。这个特定的登录脚本有一个登录类,它在用户登录时设置 cookie 和会话变量。
/**
* write user data into PHP SESSION [a file on your server]
*/
$_SESSION['user_name'] = $result_row->user_name;
$_SESSION['user_email'] = $result_row->user_email;
$_SESSION['user_logged_in'] = 1;
/**
* write user data into COOKIE [a file in user's browser]
*/
setcookie("user_name", $result_row->user_name, time() + (3600*24*100));
setcookie("user_email", $result_row->user_email, time() + (3600*24*100));
$this->user_is_logged_in = true;
不幸的是,在用户可以访问的页面上,没有人写检查以确保用户在访问该页面时已登录。因此,如果一个人只是直接输入 URL,他们就不必登录。
我想知道验证用户是否登录的最佳方法。目前我正在使用这个,但我不知道它是否是多余的(意思是:cookie变量总是等于会话变量,所以检查没有意义两者都有?)任何输入都会有所帮助。
session_start();
if(!(isset($_COOKIE['user_email']) &&
isset($_SESSION['user_email']) &&
($_COOKIE['user_email']===$_SESSION['user_email']) &&
isset($_COOKIE['user_name']) &&
isset($_SESSION['user_name']) &&
($_COOKIE['user_name']===$_SESSION['user_name']) &&
isset($login) &&
$login->isUserLoggedIn())){
header("location:../../index.php");
exit;
}
(抱歉,代码格式不正确,我仍在尝试找出本网站上文本格式的细微差别)