【问题描述】
同一用户在同一时间多次登录如果不能检测出来,是危险的。因为,你无法知道是否有其他用户在登录你的账户。如何禁止同一用户多次登录呢?
【解决方案】
(1) 每次登录,身份认证成功后,重新产生一个session_id。
session_regenerate_id();
session_register ("username") ;(2) 在用户数据库中开一个sessionid字段,重新产生session_id后,都更新该字段。
$sessionid = session_id();
$db = new PDO('sqlite:softToken.db');
$sql = "update userinfo set sessionid ='$sessionid' where username='$username' and passwd='$passwd';";
$query = $db->prepare($sql);
$query->execute();(3) 建立一个session保存用户名
$_SESSION["username"] = $username;(4) 利用url重写,传递session_id
$url = "main.php?sid=".session_id();
unset($db);
echo "<font color=blue>登录成功,正在跳转!</font>" ;
header ("Location:$url");(5) 在需要跳转的页面,起始处加入
main.php
<?php
header('Content-type:text/html; charset=utf-8');
$sessionid = $_GET['sid'];
session_id($sessionid);
session_start ();
$username = $_SESSION["username"];
$db = new PDO('sqlite:softToken.db');
$sql = "select * from userinfo where username='$username' and sessionid='$sessionid';";
$query = $db->prepare($sql);
$query->execute();
$user = $query->fetch(PDO::FETCH_OBJ);
if ($user->username == ""){
session_destroy();
echo "<script language='javascript' type='text/javascript'>" ;
echo "window.location.href = 'index.html';" ;
echo "</script>" ;
exit () ;
}
?>
<html>
<body>
......
</body>
</html>
【说明 2012-08-03】为什么没有后续文章?
本人也是PHP语言的初学者,博客提供的代码只是功能上的实现。但实际上,看了一遍《PHP设计模式》(代码很不错,翻译有待提高)后,本人感到目前自己写的PHP代码,很糟糕。我的建议是:勤学基础,不要盲目在网络上找代码,拿来而不消化。本人编码能力目前还是比较糟糕,所以在未改变之前,不会发后续PHP博客文章,不想贻害大众。
推介一本书《PHP设计模式》(Aaron Saray 著),代码可以好好看一看。
转载请标明出处,仅供学习交流,勿用于商业目的
Copyright @ http://blog.csdn.net/tandesir
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
