通过Session验证登录态可有效防止未授权访问,推荐将敏感文件移出Web根目录并使用统一入口路由,结合服务端权限校验确保安全。
用户通过URL直接访问PHP文件的问题,常见于未登录状态下尝试访问需要权限的页面。为防止这种情况,可以通过检查会话(session)登录状态或来源页的 referer 来控制访问权限。以下是具体实现方式。
1. 检查 Session 登录态(推荐方式)
最可靠的方式是使用 session 验证用户是否已登录。在受保护的 PHP 页面顶部加入判断逻辑,若未登录则跳转到登录页或返回错误。
示例代码:
session_start();
// 检查是否已登录(假设登录后设置 $_SESSION['user_id'])
if (!isset($_SESSION['user_id'])) {
header('Location: login.php'); // 跳转到登录页
exit;
}
// 正常执行后续逻辑
echo "欢迎进入受保护页面";
?>
ogin.php'); // 跳转到登录页确保每个需要权限的页面都先调用 session_start(),并验证关键 session 字段是否存在且合法。
2. 检查 HTTP Referer(辅助手段,不推荐单独使用)
HTTP Referer 可用于判断请求是否来自站内页面,但该方式不可靠,因为 referer 可被客户端禁用或伪造。
示例代码:
$referer = $_SERVER['HTTP_REFERER'] ?? '';
// 判断 referer 是否以本站域名开头
if (strpos($referer, 'https://yourdomain.com') !== 0) {
die('非法访问');
}
echo "允许访问";
?>
注意:不要依赖 referer 做核心权限控制,仅可作为额外限制或日志记录用途。
3. 综合建议:Session 为主 + URL 设计优化
为了更安全地防止 URL 直接访问,可以采取以下策略:
- 将敏感 PHP 文件放在 web 根目录之外(如放在 includes/ 或 protected/ 目录中),由前端入口文件统一调度。
- 使用路由机制,所有请求通过 index.php 分发,避免暴露实际脚本路径。
- 登录验证统一封装成函数或中间件,便于复用。
- 对 AJAX 请求也需验证 session,不能只前端拦截。
基本上就这些。关键是用 session 控制权限,referer 只能算补充。只要没登录,不管从哪访问,都应拒绝。安全的核心是服务端验证,而不是隐藏路径或依赖请求来源。
