本文介绍如何在php登录系统中,根据数据库中存储的用户课程代码(如tg111、tg112),安全、高效地将用户重定向至对应专属页面,并避免无限重定向与逻辑错误。
在构建基于角色或课程权限的Web应用时,常见需求是:用户登录后,仅能访问与其身份严格匹配的专属页面(例如学生“yyy”的KURS字段为"TG111",则只能进入TG111.php;若尝试直接访问TG112.php,应被拦截并跳转回首页)。您提供的原始代码存在严重逻辑缺陷——它在TG111.php中反复检查$_SESSION['KURS'],却仍执行header('Location: TG111.php'),导致无限自我重定向(302 loop),浏览器会报错“ERR_TOO_MANY_REDIRECTS”。
正确的做法是:将权限校验逻辑集中到统一入口(如dashboard.php或redirect_handler.php),而非分散在每个目标页面内。以下是推荐实现方案:
✅ 正确流程设计
- 用户登录成功后,从数据库读取其KURS值(如'TG111'),存入$_SESSION['KURS'];
- 跳转至一个中央调度页(如access_control.php),该页不渲染HTML,仅做权限判断与重定向;
- 根据$_SESSION['KURS']值,精确跳转至对应.php页面;
- 所有具体课程页面(如TG111.php)不再包含重定向逻辑,仅专注业务展示与操作。
✅ 推荐代码实现(access_control.php)
✅ 各课程页面(如TG111.php)精简版(无重定向逻辑)
TG111 Dashboard Welcome to TG111
Log Out
⚠️ 关键注意事项
- 永远使用exit()或die()紧随header()之后,防止后续代码意外执行;
- 白名单校验(如$allowed_pages数组)比黑名单更安全,可杜绝恶意构造KURS=../../../etc/passwd等攻击;
- 避免在目标页面内自我跳转(如原代码中TG111.php → TG111.php),这是循环重定向的根源;
- 登录验证、会话启动(session_start())必须在任何输出(含空格、BOM)前调用;
- 生产环境建议结合HTTPS、session.cookie_httponly和CSRF Token提升安全性。
通过以上结构化设计,您不仅能解决当前重定向失败问题,还能为未来扩展更多课程页面(如TG201.php)提供清晰、可维护的权限控制框架。
