Php 将特定页面限制为仅在Codeigniter中登录的用户的最佳实践是什么?
我已经为我的网站创建了一个注册和登录,所有的注册和登录验证工作都很好。用户提供有效凭据后,他/她将登录到成员区域,并收到一条欢迎消息,该消息中表示“Hello first\u name last\u name…”。。基本上,名字和姓氏都是从数据库中获取的 我想做的任何事情都是将成员区域限制为仅登录用户。其他人将被重定向到主页或登录页面,或者我决定他们应该重定向到的任何地方 我使用的ci_会话存储在数据库中的“ci_会话”表中。会话id、ip地址、用户代理、上次活动和用户数据列。因此,我想这是某种形式的安全性,而不仅仅是在用户浏览器上存储cookie,还有更多 无论如何,现在阻止除登录用户之外的任何其他人访问我的网站成员区域,例如,我在控制器中为成员区域使用一个简单的if语句:Php 将特定页面限制为仅在Codeigniter中登录的用户的最佳实践是什么?,php,mysql,codeigniter,session,Php,Mysql,Codeigniter,Session,我已经为我的网站创建了一个注册和登录,所有的注册和登录验证工作都很好。用户提供有效凭据后,他/她将登录到成员区域,并收到一条欢迎消息,该消息中表示“Hello first\u name last\u name…”。。基本上,名字和姓氏都是从数据库中获取的 我想做的任何事情都是将成员区域限制为仅登录用户。其他人将被重定向到主页或登录页面,或者我决定他们应该重定向到的任何地方 我使用的ci_会话存储在数据库中的“ci_会话”表中。会话id、ip地址、用户代理、上次活动和用户数据列。因此,我想这是某种
if (! $this->session->userdata('first_name'))
{
redirect('login');
}
<?php
class Current_User {
private static $user;
private function __construct() {}
public static function user() {
if(!isset(self::$user)) {
$CI =& get_instance();
$CI->load->library('session');
if (!$user_id = $CI->session->userdata('user_id')) {
return FALSE;
}
if (!$u = Doctrine::getTable('User')->find($user_id)) {
return FALSE;
}
self::$user = $u;
}
return self::$user;
}
public static function login($email, $password) {
// get User object by email
if ($u = Doctrine::getTable('User')->findOneByEmail($email)) {
// to ge the mutated version of the input password
$u_input = new User();
$u_input->password = $password;
// password match
if ($u->password == $u_input->password) {
$CI =& get_instance();
$CI->load->library('session');
$CI->session->set_userdata('user_id',$u->id);
$CI->session->set_userdata('username',$u->username);
$CI->session->set_userdata('first_name',$u->first_name);
$CI->session->set_userdata('last_name',$u->last_name);
self::$user = $u;
return TRUE;
}
unset($u_input);
}
// login failed
return FALSE;
}
public function __clone() {
trigger_error('No duplicates allowed.', E_USER_ERROR);
}
}
if (! $this->session->userdata('logged_in')==TRUE)
{
redirect('login');
或者我甚至可以实现一些秘密,比如DSB453RERFKSHDSBDSKS322。一些随机的东西。你已经一针见血了,但是有一种更有效的方法 以一种方式扩展基本控制器(我相信最初由Phil Sturgeon概述),但我将在这里总结: 请参阅一篇非常深入的评论 但本质上:
<?php
class MY_Controller extends Controller
{
function __construct()
{
parent::Controller();
if (! $this->session->userdata('first_name'))
{
redirect('login'); // the user is not logged in, redirect them!
}
}
}
/*
| -------------------------------------------------------------------
| Native Auto-load
| -------------------------------------------------------------------
|
| Nothing to do with cnfig/autoload.php, this allows PHP autoload to work
| for base controllers and some third-party libraries.
|
*/
function __autoload($class)
{
if(strpos($class, 'CI_') !== 0)
{
@include_once( APPPATH . 'core/'. $class . EXT );
}
}
Admin_Controller.php
MY_Controller.php
Public_Controller.php
$user_session = $this->model_user_lite->Session_Check();
if ( $user_session == FALSE )
{
redirect('main/about');
exit();
}
$data['auth'] = $user_session;
$user_id = $this->model_user_lite->Session_UserID ();
function Session_Check ( $return_link = FALSE )
{
$auth = $this->session->userdata('logged_in');
if ( $auth == FALSE )
{
$return_value = FALSE;
}
else
{
$return_value = TRUE;
}
return $return_value;
}
我希望有帮助 我认为实现安全性不是控制器的工作,它应该检查一下。您可以将身份验证逻辑编码到库中。接下来,自动加载该库。在为受保护内容提供服务的控制器方法中,您可以简单地执行以下操作:
$this->auth->restrict() 是的,非常感谢。我将阅读Phil Sturgeon的文章,以便更好地理解。我注意到的另一件事是,即使我没有登录会话id,数据库中也会存储/更新用户代理、ip、最后一次活动。现在我可以想象数百万人在没有登录的情况下浏览这个网站。这不好吗?它不应该只记录登录用户的信息吗?如果没有,我是否有办法让它销毁此数据,或者在用户未登录时根本不记录它?致命错误:在中找不到类“MY_Controller”。。。我认为这是一个CodeIgnite2.0Bugnada,你需要利用PHP5s的自动加载魔法。见我编辑的帖子
$user_session = $this->model_user_lite->Session_Check();
if ( $user_session == FALSE )
{
redirect('main/about');
exit();
}
$data['auth'] = $user_session;
$user_id = $this->model_user_lite->Session_UserID ();
function Session_Check ( $return_link = FALSE )
{
$auth = $this->session->userdata('logged_in');
if ( $auth == FALSE )
{
$return_value = FALSE;
}
else
{
$return_value = TRUE;
}
return $return_value;
}