0

我正在使用一个 PHP 登录脚本,该脚本向用户询问用户名和密码。

一旦经过身份验证,程序就会存储一个会话值。注销时,会话值设置为空白。

注销后,我想避免让用户多次点击后退按钮并投注允许查看数据屏幕或意外重新登录。

我正在使用会话,将经过验证的用户重定向到新页面。我还使用 ob_start、ob_flush 和 ob_end_clean 来防止错误或重定向。

问题:这真的安全吗?这是一种常见的方法吗?
缓冲有替代方案吗?

下面是一个小的概念验证。

<?php
header("Cache-Control: no-cache, must-revalidate"); 
header("Expires: Sat, 26 Jul 1997 05:00:00 GMT");  
header("Pragma: public"); 
session_cache_limiter('nocache');
// I'm not sure how effective any of the above seem to be.

session_start();

// start buffering because if we use header later we want to avoid error
ob_start();

echo "Type <b>in</b> or <b>out</b> to login/logout<br>";
?>

 <form action='' method='POST'>
 <input type='text' name='status' size='10' value=""><br/><br/>

 <p>&nbsp;</p>
 <input type='submit' name='Login' value='Login' /></form></p>

<?php 
 if ($_POST['status'] == 'in')
 {
  $_SESSION['logged_in'] = 'in';  
  ob_end_clean();  // clean and erase buffer so far
        header('location:test2.php');        
        exit;
 }

 if ($_POST['status'] == 'out')
 {
  $_SESSION['logged_in'] = 'no';
  echo "you are logged out <br>";

 }
 ob_flush();   // push output
 echo "login status = " . $_SESSION['logged_in']  ;

?>



file test2.php
<?php
echo "You have logged in"; 
?>
4

2 回答 2

1

我会从销毁会话开始,session_destroy()而不是将“logged_in”值设置为“no”。

然后只需检查会话是否存在即可查看用户是否已登录。

于 2010-07-28T20:44:22.493 回答
0

您需要的是正确的注销方法,而不是测试会话数据。您希望会话被完全擦除。这是一个让用户登录并注销用户并检查用户是否已登录的示例。当您单击注销页面时,您将自动注销并重定向。单击返回不会更改您仍然无法登录的任何内容。

登录.php

session_start();
$valid = someLoginFunctionHere();
if($valid) {
     $_SESSION['isLoggedIn'] = true;
     header("Location: homepage.php");
}

主页.php

session_start();
// If they are not logged in, send them to login page
if(!isset($_SESSION['isLoggedIn'])) {
    header("Location: login.php");
}

// Normal homepage stuff
...

注销.php

session_start();
session_destroy();
header("Location: login.php");

希望这有助于为您揭开会议的神秘面纱。

于 2010-07-28T21:01:12.360 回答