PHP會議登錄系統問題！

Question

我有幾個關於會話和登錄/註銷系統的問題。

在我的系統中，首先檢查用戶數據（用戶名和密碼）是否正確。如果是這樣，我正在註冊一個會話：$_SESSION['loggedin'] = 1然後我假設已經登錄，我總是檢查是否$_SESSION['loggedin'] 1或不。

但是，我最近觀察到，在其中一個用戶登錄後，讓他們轉到他們的頁面：/profile.php?u=newuser，但是當他們在他們自己的頁面中時，如果他們恰好將url更改爲：/ profile.php?u=newuser2我的系統假設newuser2現在已經被登錄了:(我怎樣才能解決這個問題？最好和最安全的登錄用戶的方式是什麼？

最後，會按照下面的方式工作嗎？假設我註冊了$_SESSION['username'] = $username;在這裏$ username data是從數據庫檢索，爲了理解一個用戶登錄或不，我總是從數據庫中檢索用戶名，並檢查$_SESSION['username'] == username。這是合乎邏輯的嗎？總是從數據庫獲取用戶名是否有效？

Answer 1

由於會話數據存儲在服務器上，因此在$ _SESSION中存儲用戶名並按照您的說法檢查它是沒有問題的。

這會更好地存儲用戶ID，但說實話沒什麼大不了的。除非你允許用戶改變他們的用戶名。

profile.php不應該有決定編輯誰的$ _GET變量。它應該會自動使用登錄的人。即

，而不是去

$username = $_GET['u']; 

您應該使用

$username = $_SESSION['username'];