PHP会议登录系统问题！

Question

我有几个关于会话和登录/注销系统的问题。

在我的系统中，首先检查用户数据（用户名和密码）是否正确。如果是这样，我正在注册一个会话：$_SESSION['loggedin'] = 1然后我假设已经登录，我总是检查是否$_SESSION['loggedin'] 1或不。

但是，我最近观察到，在其中一个用户登录后，让他们转到他们的页面：/profile.php?u=newuser，但是当他们在他们自己的页面中时，如果他们恰好将url更改为：/ profile.php?u=newuser2我的系统假设newuser2现在已经被登录了:(我怎样才能解决这个问题？最好和最安全的登录用户的方式是什么？

最后，会按照下面的方式工作吗？假设我注册了$_SESSION['username'] = $username;在这里$ username data是从数据库检索，为了理解一个用户登录或不，我总是从数据库中检索用户名，并检查$_SESSION['username'] == username。这是合乎逻辑的吗？总是从数据库获取用户名是否有效？

Answer 1

由于会话数据存储在服务器上，因此在$ _SESSION中存储用户名并按照您的说法检查它是没有问题的。

这会更好地存储用户ID，但说实话没什么大不了的。除非你允许用户改变他们的用户名。

profile.php不应该有决定编辑谁的$ _GET变量。它应该会自动使用登录的人。即

，而不是去

$username = $_GET['u']; 

您应该使用

$username = $_SESSION['username'];