php 禁止未登陆用户通过浏览器直接输入地址进入页面

封面图 • 2025-04-25 • PHP

在 PHP 中，可以通过检查用户是否已经登录来禁止未登录用户通过浏览器直接输入地址访问受保护的页面。通常的做法是：

1. 在每个需要保护的页面上添加一个登录检查逻辑。
2. 如果用户未登录，则重定向到登录页面或显示错误信息。

以下是一个简单的实现示例：

### 示例代码

```php
<?php
// 检查用户是否已登录
session_start(); // 启动会话

// 假设我们使用 $_SESSION['is_logged_in'] 来记录用户登录状态
if (!isset($_SESSION['is_logged_in']) || $_SESSION['is_logged_in'] !== true) {
    // 如果用户未登录，重定向到登录页面
    header('Location: login.php'); // 重定向到登录页面
    exit; // 确保脚本停止执行
}
?>
<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>受保护的页面</title>
</head>
<body>
    <h1>欢迎访问受保护的页面！</h1>
    <p>只有已登录的用户才能看到这个内容。</p>
</body>
</html>
```

### 解释：
1. `session_start()`：启动会话，以便我们可以使用 `$_SESSION` 来存储和检索数据。
2. `$_SESSION['is_logged_in']`：假设我们在用户登录时设置了 `$_SESSION['is_logged_in'] = true`。如果用户未登录，这个变量将不存在或值为 `false`。
3. `header('Location: login.php')`：如果用户未登录，我们将用户重定向到登录页面（例如 `login.php`）。
4. `exit`：确保在重定向后脚本停止执行，防止继续输出页面内容。

### 登录页面示例 (`login.php`)

```php
<?php
session_start();

// 模拟用户登录
if ($_SERVER['REQUEST_METHOD'] === 'POST') {
    $username = $_POST['username'];
    $password = $_POST['password'];

// 验证用户名和密码（这里可以替换为实际的验证逻辑）
    if ($username === 'admin' && $password === 'password') {
        $_SESSION['is_logged_in'] = true;
        $_SESSION['username'] = $username; // 可以存储用户名等信息
        header('Location: protected_page.php'); // 跳转到受保护的页面
        exit;
    } else {
        $error = "用户名或密码错误";
    }
}
?>
<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>登录页面</title>
</head>
<body>
    <h1>登录</h1>
    <?php if (isset($error)): ?>
        <p style="color:red;"><?php echo $error; ?></p>
    <?php endif; ?>
    <form method="post" action="">
        <label for="username">用户名:</label>
        <input type="text" id="username" name="username" required><br>

<button type="submit">登录</button>
    </form>
</body>
</html>
```

### 解释：
1. 用户提交表单后，我们检查用户名和密码是否正确。
2. 如果验证成功，设置 `$_SESSION['is_logged_in'] = true` 并跳转到受保护的页面。
3. 如果验证失败，显示错误消息。

### 总结：
通过在每个受保护的页面中检查 `$_SESSION['is_logged_in']` 的值，可以有效防止未登录用户直接通过浏览器访问这些页面。