Php 正在尝试验证仪表板中的用户角色
我正在尝试创建一个登录系统来检查用户角色并重定向到相应的仪表板,同时还禁止用户手动输入其他人的仪表板URL 登录工作很好,但是检查用户角色,就没那么多了 该站点针对每个角色都有一个仪表板,每个仪表板之上都有以下内容:Php 正在尝试验证仪表板中的用户角色,php,mysql,session,authentication,pdo,Php,Mysql,Session,Authentication,Pdo,我正在尝试创建一个登录系统来检查用户角色并重定向到相应的仪表板,同时还禁止用户手动输入其他人的仪表板URL 登录工作很好,但是检查用户角色,就没那么多了 该站点针对每个角色都有一个仪表板,每个仪表板之上都有以下内容: session_start(); if(!$_SESSION['sess_role'] == 'role1') { header('location:../../index.php'); } 当您尚未登录时,它似乎可以正常工作,因为“sess_role”属性不匹配,所以
session_start();
if(!$_SESSION['sess_role'] == 'role1') {
header('location:../../index.php');
}
$msg = "";
if(isset($_POST['submitBtnLogin'])) {
$username = trim($_POST['username']);
$password = trim($_POST['password']);
if($username != "" && $password != "") {
try {
$query = "select * from `users` where `username`=:username and `password`=:password";
$stmt = $db->prepare($query);
$stmt->bindParam('username', $username, PDO::PARAM_STR);
$stmt->bindValue('password', $password, PDO::PARAM_STR);
$stmt->execute();
$count = $stmt->rowCount();
$row = $stmt->fetch(PDO::FETCH_ASSOC);
if($count == 1 && !empty($row)) {
$_SESSION['sess_user_id'] = $row['id'];
$_SESSION['sess_username'] = $row['username'];
$_SESSION['sess_role'] = $row['role'];
}
if($row['role'] == "role1") {
header('location:modules/role1/index.php');
} else if($row['role'] == "role2") {
header('location:modules/role2/index.php');
} else if($row['role'] == "role3") {
header('location:modules/role3/index.php');
} else if($row['role'] == "role4") {
header('location:modules/role4/index.php');
} else {
$msg = "Invalid login information.";
}
} catch (PDOException $e) {
echo "Error : ".$e->getMessage();
}
} else {
$msg = "Both fields are required.";
}
}
echo($_SESSION['sess_role']);
我非常感谢您在确定问题方面提供的帮助。代码>运算符绑定到
$\u会话['sess\u角色]如果($\u SESSION['sess\u role']!='role2'){出口的标题:
在附加说明中;不要存储纯文本密码。使用密码\u hash()
存储哈希版本的密码:
然后使用password\u verify()
验证它们:
请通读一遍,这很重要
仅使用准备好的语句是不够安全的,在涉及密码时就不安全了。尝试了您的两个建议,但问题似乎仍然存在。您应该在每个标题后添加exit;
。您的代码可能希望继续执行。另一件事;您为什么要存储纯文本密码?似乎是这样是的!在添加了exit之后;在需要它的地方一切正常,谢谢您的帮助!