0

我使用 php 和 html 进行网站登录。代码:

<?php

session_start();
$user="root";
$host="localhost";
$password="";
$database="mb_dusnionys_login";
$usertable="nariai";

mysql_connect ($host, $user,$password) or die ("negalima");

mysql_select_db ($database)or die (mysql_error());


$myusername=$_POST['username'];
$mypassword=$_POST['password'];


$sql="SELECT * FROM {$usertable} WHERE username='{$myusername}' AND password='{$mypassword}'";

$result = mysql_query($sql);
$count=mysql_num_rows($result);

if($count==1){

$_SESSION ["username"]=$myusername;
$_SESSION ["password"]=$mypassword;
$_SESSION ["userrecord"]=mysql_fetch_assoc($result);

header ("location: /nariu_turinys/index.html");
}
else {
echo "Netinkamas vartotojo vardas arba slaptažodis. Grįžkite atgal ir bandykite iš naujo";
}

我的网站的概念:有一个带有按钮和登录表单的主索引文件。按钮重定向而不登录到其他索引文件,登录表单重定向到第三个索引文件,需要用户名和密码。在这个目录中是我网站的主要部分。当我使用登录表单登录网站时一切正常,但是如果当我登录并将 url 复制到页面的某个部分并粘贴到其他浏览器或其他选项卡中时,我无需登录即可到达该部分。问题是如何使这些部件在没有登录的情况下不可用?

4

2 回答 2

0

您需要在客户端上存储某种形式的身份验证令牌(您已经使用会话cookie 执行此操作),然后检查访问每个页面的用户是否经过身份验证并有权查看该页面(并使用登录名给出 403 响应表格或适当的错误消息(如果不是)。

于 2013-04-22T13:46:04.437 回答
0

您应该向每个内部页面添加一个功能,以检查您在登录时存储的会话数据。如果此数据与存储的数据不匹配,则将用户踢回登录页面并显示错误消息。

-编辑-

一个示例函数:

function isLoggedIn()
{
    if(isset($_SESSION['username']))
        $sql="SELECT * FROM {$usertable} WHERE username='{$_SESSION['myusername']}' AND password='{$_SESSION['password']}'";
    $result = mysql_query($sql);
    if(!$result)
    {
        logout();
    }
} else {
    logout();
}}
于 2013-04-22T13:46:11.953 回答