使用session來驗證用戶是否已經登錄
今天看到www.chinaasp.com的php論壇里在討論使用session是否能夠真正的檢驗用戶登錄與否。很多人認為用session的話,訪問者知道相應變量名時可以直接在url欄里輸入以偽登錄。其實可以使用session的一個函數session_is_registered("變量名")來檢驗。
比如:在登錄的頁面里當用戶名和密碼通過驗證以后,可以用session_register("變量名")來注冊一個變量,以次作為用戶已經登錄的憑證,在別的需要檢驗用戶是否已經登錄的頁面開頭加上如下的語句就可以了。
if(!(session_is_registered("變量名")))
{
?>
請先到首頁登錄!
exit();
}
…………
…………
這種做法經過了我使用在url里帶上同名參數的檢驗而沒有出現問題。