php session实现登录

PHP Session 实现登录功能

使用 PHP 的 Session 机制实现用户登录功能是一种常见的方法。Session 可以在服务器端存储用户数据，并在多个页面间保持用户状态。

创建登录表单

构建一个简单的 HTML 表单用于用户输入用户名和密码：

<form action="login.php" method="post">
    <label for="username">用户名:</label>
    <input type="text" id="username" name="username" required>

    <label for="password">密码:</label>
    <input type="password" id="password" name="password" required>

    <input type="submit" value="登录">
</form>

处理登录请求

创建 login.php 文件处理登录请求并设置 Session：

<?php
session_start();

// 假设这是从数据库获取的正确用户名和密码
$validUsername = 'admin';
$validPassword = '123456';

// 获取表单提交的数据
$username = $_POST['username'] ?? '';
$password = $_POST['password'] ?? '';

// 验证用户凭据
if ($username === $validUsername && $password === $validPassword) {
    // 登录成功，设置 Session
    $_SESSION['loggedin'] = true;
    $_SESSION['username'] = $username;

    // 重定向到受保护页面
    header('Location: dashboard.php');
    exit;
} else {
    // 登录失败
    echo '用户名或密码错误';
}
?>

创建受保护页面

创建 dashboard.php 文件，检查用户是否已登录：

<?php
session_start();

// 检查用户是否已登录
if (!isset($_SESSION['loggedin']) || $_SESSION['loggedin'] !== true) {
    // 未登录，重定向到登录页面
    header('Location: login.php');
    exit;
}

// 显示受保护内容
echo '欢迎, ' . htmlspecialchars($_SESSION['username']) . '! 这是您的仪表盘。';
?>

实现注销功能

创建 logout.php 文件处理用户注销：

<?php
session_start();

// 清除所有 Session 数据
$_SESSION = array();

// 删除 Session cookie
if (ini_get("session.use_cookies")) {
    $params = session_get_cookie_params();
    setcookie(session_name(), '', time() - 42000,
        $params["path"], $params["domain"],
        $params["secure"], $params["httponly"]
    );
}

// 销毁 Session
session_destroy();

// 重定向到登录页面
header('Location: login.php');
exit;
?>

安全注意事项

在实际应用中，密码应该进行哈希处理而不是明文存储。使用 password_hash() 和 password_verify() 函数：

// 存储密码时
$hashedPassword = password_hash($password, PASSWORD_DEFAULT);

// 验证密码时
if (password_verify($inputPassword, $storedHashedPassword)) {
    // 密码匹配
}

Session 应该设置适当的过期时间，并且重要操作应该使用 CSRF 令牌保护。在生产环境中，确保使用 HTTPS 来保护 Session 数据。