ログイン後のユーザーを識別する方法 - PHPプロ!Q&A掲示板
現在、ポータルサイト構築を行っています。
ログイン画面からログイン後、
それぞれのユーザーの専用ページに移行する仕組みです。
ログイン後、ユーザページまでは間違いなく進み、
ユーザーページにログインせずに直接アクセスしようとすると、ログイン画面に
リダイレクトするようにはなっています。
ただ現状、ログインユーザー同士が、お互いの専用ページにアクセスできてしまっています。
ログインユーザーを識別し、他のユーザーの専用ページにはアクセスできないようにする
必要があるのですが、どのように記述を変えれば良いかわからない状況です。
- session_start();
- $_SESSION = array();
以下のように、usernameとPWを書き込んだ別ファイルを指定しています
- $data_file = "./d_file.dat";
このファイルの中には、以下のように各ユーザーのusernameとPWが記載されています。
member_name1,password1,
member_name2,password2,
以下にコード続きます。
- $error_message = "";
- if(!isset($PHP_SELF)){ $PHP_SELF = $_SERVER["PHP_SELF"]; }
- if(!isset($action)){ $action = $_POST['action']; }
- if(!isset($member_name)){ $member_name = $_POST['member_name']; }
- if(!isset($password)){ $password = $_POST['password']; }
- if (isset($_POST["login"])) {
- $p_data = file($data_file);
- $p_flag = 0;
- for($i=0; $i<count($p_data); $i++){
- list($id,$pass) = split(",", $p_data[$i]);
- if($id == $member_name && $pass == $password){
- $p_flag++;
- }
- }
- if($p_flag > 0){
- $_SESSION["login_name"] = $_POST["member_name"];
ユーザ専用画面へブラウザをリダイレクトします
- header("location: http://〜/$member_name/");
- exit;
- session_start();
- $old_session_id = session_id();
- session_regenerate_id();
- unlink(session_save_path() . '/sess_' . $old_session_id);
- if (!isset($_SESSION["login_name"])) {
- header("location: http://〜/");
- exit;
- }
このようにログイン画面を設置。
ログインすると、URLの末尾にmember_nameのあるページに遷移します。
ログイン後のページには以下のように記述しています。
この記述では、各ユーザーを識別できていないのでしょうか?
試行錯誤しておりますが、うまくいきません。
何卒アドバイスを、よろしくお願いいたします。
この質問への意見の募集は締め切られ、ポイントは既に配分されました。
意見を投稿することはできますが、ポイントを受け取ることはできません。
ツリー一覧
回答一覧
A01
answereryuuki [9月3日 20:05]
session_start();
$old_session_id = session_id();
session_regenerate_id();
unlink(session_save_path() . '/sess_' . $old_session_id);
if (!isset($_SESSION["login_name"])) {
header("location: http://〜/");
exit;
}
?>
これが、各ユーザーのログイン後のページのソースですか?
場所が違うような・・・。
まぁそうだと仮定して進めると、
if (!isset($_SESSION["login_name"])) {
}
原因はこれでしょう。
これだと$_SESSION["login_name"]に何の値が入っていても認証が通ってしまいます。
仮にユーザーが3人、Aさん、Bさん、Cさんがいたとして、
ログインしたら値は何であれ$_SESSION["login_name"]はセットされます。
セットされた時点でこの認証はクリアできてしまう訳です。
ちなみに
$_SESSION["login_name"] = '';
これでも通ってしまいます。
それはさておき、これをユーザー本人がログインしているかどうかの判定を加える方法を考えます。
ログインしたらそのユーザー名のディレクトリに飛ぶのであれば
ディレクトリ名=$_SESSION["login_name"]かどうかという判定を加えたらどうでしょうか?
つまりはURLにログインユーザーの名前が含まれているかを判定するんです。
- //urlを取得
- $url = $_SERVER['REQUEST_URI'];
- $user_name = $_SESSION["login_name"];
- //urlにユーザー名が完全に含まれていなかったらリダイレクト
- if (strpos($url,'/'.$user_name) === false) {
- header("location: http://〜/");
- exit;
- }
こんな感じ。
A01-1
replyeryukosaito [9月3日 22:20] (最終編集:9月4日 20:35)
とても参考になったのですが、冒頭でおっしゃられていた、「場所が違う」とは、
具体的にどういう事ですか?
ログイン後のページの記述として、おかしいのでしょうか?
素人の仕事なので、すみません。どう違うのかわからないです。
ぜひ教えていただけないでしょうか。お願いいたします。
※補足です
もしかしたら、
- $old_session_id = session_id();
- session_regenerate_id();
- unlink(session_save_path() . '/sess_' . $old_session_id);
これはログイン前の画面で行うべき処理ですか?
A01-1-1
replyeryuuki [9月6日 11:46]
いや、
ログイン後のページには以下のように記述しています。
って書いてあるのに「以下」にソースが何も書かれてないなぁ、と思っただけです。
>$old_session_id = session_id();
>session_regenerate_id();
>unlink(session_save_path() . '/sess_' . $old_session_id);
は現在の状態では何も意味をなしてないですね。
やるんであれば、
ログイン成功、セッションID発行
↓
ユーザーページに遷移
セッションIDが正常に発行されているか確認
正常でなかったら、エラー、リダイレクト
という流れでしょうかね。
このやり方を使うのであれば、ディレクトリ名での判定はなくてもいいかもしれません。
(両方あっても問題はなし)
ここでのコツはどうやって「セッションIDが正常に発行されているか確認」を上手くやるかになるかなぁと思います。
A01-1-1-1
replyeryukosaito [9月7日 22:26]
場所がおかしい、という意味、わかりました。
単純に書き方がおかしかったんですね…。
それより、いろいろアドバイスいただきまして、ありがとうございます!
おかげさまで、ユーザーページが相互にアクセスできてしまう問題は
解決いたしました。ひとまず、解決というか、アクセスできないようにはなりました。
その上で、セッションの件なのですが、
これはそもそも、セッションについて私がまだ良くわかっていないのが問題と認識しました。
このままでは、機能していないんだな、という事が理解できる所まで来れましたが…。
>やるんであれば、
>ログイン成功、セッションID発行
>↓
>ユーザーページに遷移
>セッションIDが正常に発行されているか確認
>正常でなかったら、エラー、リダイレクト
アドバイスいただいたような流れで、何とか挑戦してみます。
この度は、本当に助かりました。
ページのトップへ
shimix様、いつもわかりやすい説明をありがとうございます。 「includeはエディタでコピペした状態と同じ」 この表現、私も授業で使わせていただきたいと思います。