注销按钮上的 PHP 会话销毁

Posted 2023-02-25

【中文标题】注销按钮上的 PHP 会话销毁

【英文标题】：PHP Session Destroy on Log Out Button

【发布时间】：2012-02-18 13:51:28

【问题描述】：

我目前正在使用具有登录名（用户名和密码）的站点 - 密码保护由 Web 服务器中的操作系统在操作系统中称为领域的文件夹级别完成。现在必须这样做，直到我们找到合适的 php 登录系统。

以下代码基于previous question on the stack overflow.

我正在使用 3 个文件（参见底部的代码 sn-ps）。

过程是： - 单击 index.php 上的登录按钮 - 输入用户名和密码以访问认证索引文件。 - 单击注销按钮，它引用 logout.php 文件 - 它应该清除缓存并将用户返回到***索引。

它不会“破坏会话”，因为在提示时不会要求您重新输入密码，这基本上是我想要发生的事情。

我对 php 的了解很少，这让我有点困惑。

index.php（带有登录按钮的***文件）

<?php session_start(); ?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8" />
<title>Test</title>
</head>
<body>
<a href="authenticate/index.php">Log In Btn</a>
</body>
</html>

authenticate/index.php（此文件夹受密码保护 - 包含索引文件和链接到 logout.php 文件的注销按钮）

<?php session_start(); ?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8" />
<title>Log out</title>
</head>
<body>
<a href="logout.php">Log Out Btn</a>
</body>
</html>

验证/logout.php

<?php   
session_start(); //to ensure you are using same session
session_destroy(); //destroy the session
header("location:/index.php"); //to redirect back to "index.php" after logging out
exit();
?>

【问题讨论】：

如果文件夹受密码保护，则 PHP 不会进行身份验证。 Apache（或网络服务器）是。

确实有道理，非常感谢@xbonez

【参考方案1】：

受密码保护的文件夹与 PHP无关！

所使用的方法称为“基本身份验证”。没有跨浏览器的“注销”方式，除了要求用户关闭然后打开他们的浏览器......

以下是您可以在 PHP 中执行此操作的方法（完全删除 .htaccess 或任何第一个位置中的 Apache 基本身份验证）：

login.php：

<?php
session_start();
//change 'valid_username' and 'valid_password' to your desired "correct" username and password
if (! empty($_POST) && $_POST['user'] === 'valid_username' && $_POST['pass'] === 'valid_password')

    $_SESSION['logged_in'] = true;
    header('Location: /index.php');

else

    ?>

    <form method="POST">
    Username: <input name="user" type="text"><br>
    Password: <input name="pass" type="text"><br><br>
    <input type="submit" value="submit">
    </form>

    <?php

index.php

<?php
session_start();
if (! empty($_SESSION['logged_in']))

    ?>

    <p>here is my super-secret content</p>
    <a href='logout.php'>Click here to log out</a>

    <?php

else

    echo 'You are not logged in. <a href="login.php">Click here</a> to log in.';

注销.php：

<?php
session_start();
session_destroy();
echo 'You have been logged out. <a href="/">Go back</a>';

显然这是一个非常基本的实现。您希望用户名和密码位于数据库中，而不是硬编码比较。我只是想让您了解如何进行会话。

希望这可以帮助您了解发生了什么。

【讨论】：

太棒了！比 HTTP 身份验证方法好得多，其中注销代码要复杂得多。如果您要在所有三个代码块中添加 PHP 结束标签，我会回答您。糟糕，我已经做到了！ :-)

@FrankConijn 请参阅php.net/manual/en/language.basic-syntax.phptags.php：“如果文件是纯 PHP 代码，最好在文件末尾省略 PHP 结束标记。这样可以防止意外空白或添加新行在 PHP 结束标记之后，这可能会导致不必要的影响，因为当程序员无意在脚本中的该点发送任何输出时，PHP 将开始输出缓冲。"

我认为注销应该使用post方法，而不是get。

【参考方案2】：

首先在该注销按钮中提供logout.php页面的链接。在该页面中制作如下代码：

代码如下：

<?php
 session_start();
 session_destroy();
?>

当会话开始时，上一个/当前用户的会话已经启动，所以不需要声明用户名。它将被 session_destroy 方法自动删除。

【参考方案3】：

if(isset($_GET['logout'])) 
    session_destroy();
    unset($_SESSION['username']);
    header('location:login.php');

全局数组$_GET的if块检查url中是否设置了logout var

然后，会话销毁函数被调用 然后，全局会话数组值用户名被删除/删除标题功能会将您重定向回登录页面

【讨论】：

感谢您提供此代码 sn-p，它可能会提供一些有限的短期帮助。一个正确的解释would greatly improve 它的长期价值通过展示为什么这是一个很好的解决问题的方法，并将使它对未来有其他类似问题的读者更有用。请edit您的回答添加一些解释，包括您所做的假设。