本文介绍如何在php登录系统中,根据数据库中存储的用户课程代码(如tg111、tg112),安全、高效地将用户重定向至对应专属页面,并避免无限重定向与逻辑错误。
在构建基于角色或课程权限的Web应用时,常见需求是:用户登录后,仅能访问与其身份严格匹配的专属页面(例如学生“yyy”的KURS字段为"TG111",则只能进入TG111.php;若尝试直接访问TG112.php,应被拦截并跳转回首页)。您提供的原始代码存在严重逻辑缺陷——它在TG111.php中反复检查$_SESSION['KURS'],却仍执行header('Location: TG111.php'),导致无限自我重定向(302 loop),浏览器会报错“ERR_TOO_MANY_REDIRECTS”。
正确的做法是:将权限校验逻辑集中到统一入口(如dashboard.php或redirect_handler.php),而非分散在每个目标页面内。以下是推荐实现方案:
✅ 正确流程设计
- 用户登录成功后,从数据库读取其KURS值(如'TG111'),存入$_SESSION['KURS'];
- 跳转至一个中央调度页(如access_control.php),该页不渲染HTML,仅做权限判断与重定向;
- 根据$_SESSION['KURS']值,精确跳转至对应.php页面;
- 所有具体课程页面(如TG111.php)不再包含重定向逻辑,仅专注业务展示与操作。
✅ 推荐代码实现(access_control.php)
<?php
session_start();
// 检查是否已登录且KURS存在
if (!isset($_SESSION['KURS']) || empty(trim($_SESSION['KURS']))) {
header("Location: index.php");
exit();
}
$kurs = trim($_SESSION['KURS']);
$allowed_pages = ['TG111', 'TG112', 'TG113']; // 白名单,防止路径遍历攻击
if (in_array($kurs, $allowed_pages)) {
header("Location: {$kurs}.php");
} else {
header("Location: index.php?error=unauthorized");
}
exit();
?>✅ 各课程页面(如TG111.php)精简版(无重定向逻辑)
<?php
session_start();
// 强制校验:仅允许KURS为TG111的用户访问本页
if ($_SESSION['KURS'] !== 'TG111') {
header("Location: access_control.php");
exit();
}
?>
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>TG111 Dashboard</title>
</head>
<body>
<h1>Welcome to TG111</h1>
<a href="logout.php">Log Out</a>
</body>
</html>⚠️ 关键注意事项
- 永远使用exit()或die()紧随header()之后,防止后续代码意外执行;
- 白名单校验(如$allowed_pages数组)比黑名单更安全,可杜绝恶意构造KURS=../../../etc/passwd等攻击;
- 避免在目标页面内自我跳转(如原代码中TG111.php → TG111.php),这是循环重定向的根源;
- 登录验证、会话启动(session_start())必须在任何输出(含空格、BOM)前调用;
- 生产环境建议结合HTTPS、session.cookie_httponly和CSRF Token提升安全性。
通过以上结构化设计,您不仅能解决当前重定向失败问题,还能为未来扩展更多课程页面(如TG201.php)提供清晰、可维护的权限控制框架。
