php实现当前用户

PHP 获取当前用户信息的方法

在 PHP 中获取当前用户信息可以通过多种方式实现，具体取决于应用场景和需求。

通过 $_SERVER 全局变量获取

$_SERVER['REMOTE_ADDR'] 可以获取用户的 IP 地址：

$userIP = $_SERVER['REMOTE_ADDR'];

$_SERVER['HTTP_USER_AGENT'] 可以获取用户浏览器信息：

$userAgent = $_SERVER['HTTP_USER_AGENT'];

通过会话(Session)获取登录用户

对于已登录用户，通常会存储在 session 中：

session_start();
$currentUser = $_SESSION['username'] ?? null;

通过 HTTP 认证获取

如果使用基本 HTTP 认证：

$username = $_SERVER['PHP_AUTH_USER'] ?? null;
$password = $_SERVER['PHP_AUTH_PW'] ?? null;

通过数据库查询获取

从数据库中查询当前用户信息：

// 假设用户ID存储在session中
$userId = $_SESSION['user_id'];
$stmt = $pdo->prepare("SELECT * FROM users WHERE id = ?");
$stmt->execute([$userId]);
$user = $stmt->fetch();

用户身份验证最佳实践

实现安全的用户认证应考虑以下方面：

使用 password_hash() 和 password_verify() 处理密码：

// 注册时哈希密码
$hashedPassword = password_hash($plainPassword, PASSWORD_DEFAULT);

// 登录时验证
if (password_verify($inputPassword, $storedHash)) {
    // 验证成功
}

考虑使用 prepared statements 防止 SQL 注入：

$stmt = $pdo->prepare("SELECT * FROM users WHERE username = ?");
$stmt->execute([$username]);

实现 CSRF 保护：

// 生成令牌
$_SESSION['csrf_token'] = bin2hex(random_bytes(32));

// 验证令牌
if (!hash_equals($_SESSION['csrf_token'], $_POST['csrf_token'])) {
    // 令牌无效
}

获取用户详细信息的扩展方法

使用 geoip 扩展获取地理位置：

$record = geoip_record_by_name($userIP);
$country = $record['country_name'];

解析 User-Agent 获取设备信息：

$parser = new WhichBrowser\Parser($_SERVER['HTTP_USER_AGENT']);
$browserName = $parser->browser->name;
$osName = $parser->os->name;

通过 OAuth 获取第三方平台用户信息：

// 例如使用Google OAuth
$client = new Google_Client();
$client->setAuthConfig('client_secret.json');
$client->addScope(Google_Service_Oauth2::USERINFO_PROFILE);
$userInfo = $oauth2->userinfo->get();