セッションを使用して Web ページを保護する
- WBOYオリジナル
- 2016-06-21 09:15:391035ブラウズ
セッション|ウェブ|ページ
多くの場合、特定の Web ページを保護する必要があります。典型的な例は、フロントエンドの閲覧ページとバックエンドの管理ページのセキュリティです。これは、WEB 上で最も一般的に使用されるページ セキュリティ モードでもあります。私も PHP4 で小規模な書籍管理システムを開発したときに、このセキュリティ問題に遭遇しました。そこで、PHP4 の新機能であるセッションについて考えてみました。
要件の目的: 同じサイト上で、非特権ユーザー、一般許可ユーザー、およびスーパーユーザーが異なるページを表示および使用できます。
実装方法: 保護するページにさまざまなレベルのセキュリティ検査テンプレートを含めます。
注:
1 > ユーザーのブラウザが Cookie を使用せずに保護されたページを閲覧できないようにするため (セッションはデフォルトでクライアント Cookie を使用します)。 (PHP 4 のセッションのデフォルトの存続期間は、セッションが確立されてからブラウザが閉じられるまでです。)
使用方法:
1 > の先頭に include ("secturity2.php") を追加します。一般的な保護が必要なページのコード ; 以上です
2 > 特別な保護が必要なページのコードの先頭に include ("secturity1.php"); を追加するだけです
(すべてのファイルが同じファイル フォルダー内にあると仮定します)
プログラム コードと詳細な説明:
security1.php 特別ユーザー ページ保護テンプレート
security2.php 一般ユーザー ページ保護テンプレート
login2.php ユーザー ログイン ページ
まず見てみましょうlogin2.php (ユーザーログインページ) コード:
session_register("user"); # ユーザー名変数を追加
session_register("password"); # パスワード変数を追加
session_register("tmLast");時間変数を追加します
if ($user==""){#初めてログインするかどうかを判断します
$error="名前を選択してパスワードを入力してください!" }
$tmLast=date("U");ログイン時間
if($user1)
$user=trim($user1); # ユーザー名を記録します (なぜ user1 変数が引用符で囲まれているのでしょうか? 自分で考えてください。)
$password=trim($password1); #パスワード
if($user1&&$password1){
if ($password1==888){ #ログインパスワードがデフォルトのパスワード 888 であるかどうかを確認し、PHP プログラムを終了します
$sid="PHPSESSID=".session_id(); #現在のセッションの ID 番号を保存します
$warning="Yourpassword isstillthedefaultpassword888,pleasechangeit." ; #header("Location:changePassword.php?$sid&warning=$warning"); #changePassword.php ページに警告パラメータを渡します
exit(); #すぐにPHPプログラムを終了します
}
if(strto lower($user)= ="root"){ #ログインしているユーザーがスーパーユーザーであるかどうかを判断し、ユーザーを自分で展開できます
$fileName ="backend_index.php";
}
else{
if(!$fileName) #ログインページの前のページを決定します
$fileName="index.php";
$sid= "PHPSESSID=".session_id(); #現在のセッションの ID 番号を保存します
header("Location:$fileName?$sid); #ログインに成功し、指定されたページに入り、現在のセッションの ID 番号を渡しますユーザーが Cookie を使用せずにセッション値を読み取れないようにします
exit(); #PHP プログラムをすぐに終了します
echo"$error"; #ログイン プロンプトを表示します
gt;名前:
include("class/dbclass.inc"); #dbclass.inc クラスを呼び出します。使用方法はmysql.inc クラスと同じです
$q=newDB_Sql; #新しいオブジェクトを定義します
$q->connect($Host,$Database,$User,$Password) #mysql データベースに接続します
$query="selectchrUserName ,chrFirstName,chrLastName".
"fromUser".
"wherechrFirstName!=''".
"orderbychrFirstName";
$q->query($query); #SQL ステートメントを実行
echo "
while($q->next_record()){ #一般ユーザーをデータベースから呼び出す
if($user==$q->f(0)) # 現在のユーザーかどうかを判定する
$select="selected"; #現在のユーザーの場合はデフォルト値に設定します
それ以外の場合は
echo"
ucfirst($q->f(1))."". #ユーザー名の最初の文字は大文字です
ucfirst($q->f(2))." }
echo"";
?>
security2.php (一般的なユーザー ページ保護テンプレート):
session_register("user"); #手順は上記と同じです
session_register( "password");
session_register("tmLast");
if($fileName=="")
$fileName=$PHP_SELF; #現在のページのパスを記録します
if($durtime=="")
$ durtime=300 ; #セッションの「有効期限」時間を設定します
$currtime=date("U");
if(($currtime-$tmLast)>$durtime){ #セッションが「期限切れ」かどうかを判断します
/ /session_destroy();
$error=urlencode("Seesionexpired.Loginagainplease!");
header("Location:login2.php?fileName=$fileName&error=$error&user=$user"); #再ログインページにジャンプしますexit(); }
else{
$tmLast=$currtime; # セッションが「期限切れ」になっていない場合は、最後の「ログイン」時刻を更新します
}
include("class/dbclass.inc"); $q=newDB_Sql;
$q-> connect($Host,$Database,$User,$Password);
"selectidUserfromUser"
"andchrPasswd=" $password'";
$q-> query($query);
if(!$q->num_rows()){ #一致するパスワードを持つユーザーが見つかったかどうかを確認します
$error=urlencode("PasswordiswrongorNoprivilegeuser .");
header("Location:login2.php ?fileName=$fileName&error=$error&user=$user"); #パスワードエラーログインページにジャンプします
}
else{
$sid="PHPSESSID=".session_id( );
$q->next_record();
$USERID=$q->f(idUser); #認証済みユーザーの ID 番号を将来の使用のために保存します }
security1.php特別なユーザー ページ保護テンプレート):
session_register("user"); #手順は上記と同じです
$privilege="root,macro,jackie" #", で区切ってスーパー ユーザー リストを設定します。 "
$pieces=explode(",",$privilege); #単一のスーパー ユーザー リストを取得します
for($i=0;$i
$hasPrivilege=1;
Break; #判定ループから抜けます
}
}
if(!$hasPrivilege){
if ($fileName=="")
$fileName=$PHP_SELF;
$error=urlencode( "Youhavenoprivilegetoviewthispage!")
header("Location:login2.php?fileName=$fileName&error=$error&id=$id");
exit(); #不正ユーザーのログインページにジャンプします
}
?>