如何使用登入系統保護會員專屬頁面的安全？

使用登入系統保護會員專用頁面

為會員專用頁面建立安全登入系統時，需要考慮幾個方面考慮。這是另一種解決您問題的方法：

單獨的初始化和函數

• 將資料庫連接和登入邏輯移至單獨的檔案（例如init.txt）
• 在需要存取該功能的每個PHP 頁面的開頭都需要此檔案。

集中登入處理

• 使用基於 AJAX 的登入腳本 (ajax/login.php) 處理登入要求。
• 將使用者名稱和密碼作為 POST 資料傳遞，並根據資料庫驗證它們。
• 如果成功，設定適當的會話變數並向呼叫頁面傳回「1」。

會話管理

• 使用 PHP 會話來儲存登入訊息，例如使用者名稱。
• 使用會話變數作為受限頁面的守衛，以防止未經授權的存取。

頁面內容和模板包含

• 使用PHP include 引入常見的頁面元素，例如頁眉和頁腳，以獲得一致的用戶體驗。
• 使用 PHP echo 語句動態顯示使用者特定的訊息，例如登入的使用者名，在受限頁面上。

範例實作：

init.php（資料庫與函式初始化）

<?php // Database connection
$servername = "localhost";
$username = "username";
$password = "password";
$db = "database";

// Create connection
$conn = new mysqli($servername, $username, $password, $db);

// Check connection
if ($conn->connect_error) {
  die("Connection failed: " . $conn->connect_error);
}

// Load custom functions
require_once('fn/functions.php');

index.php（登入頁）

<?php require_once('inc/head.inc.php');
require_once('fn/init.php');
?>

<div>
<p><strong>ajax/login.php（登入處理）</strong></p>
<pre class="brush:php;toolbar:false"><?php $username = $_POST['username'];
$password = $_POST['password'];

// Validate credentials against database
if (authenticate($username, $password) == true) {
  // Set session variables
  session_start();
  $_SESSION['username'] = $username;
  
  echo 1; // Success
} else {
  echo 'Invalid credentials.';
}

restricted_pa​​ge.php（受保護頁）

<?php require_once('inc/head.inc.php');
require_once('fn/init.php');

// Check if user is logged in
session_start();
if (!isset($_SESSION['username'])) {
  header('Location: index.php');
  exit;
}
%>

<h1 id="Welcome-to-the-Restricted-Page-php-echo-SESSION-username">Welcome to the Restricted Page, <?php echo $_SESSION['username']; ?>!</h1>

透過遵循這些準則，您可以建立安全的登入系統，以保護會員專用頁面免受未經授權的存取。