我创建了一个系统,该系统使用带有'phpass'类的用户名/密码登录系统来存储哈希值并在用户登录时检查密码。
我还使用AJAX加载用户信息(只有在用户被记录时才能检索)和javascript。
我的问题是,我应该在每个页面和每个返回AJAX值的文件中检查用户的身份验证,还是只在MySQL数据库中创建一个“连接”条目。
因为性能或使用数据库方法错误而在每个页面和请求中使用'phpass'函数是错误的吗?
如果用户已登录,保持用户连接并检查每个页面的最佳方法是什么?
答案 0 :(得分:6)
使用$_SESSION并在每个页面上进行检查
即
$loggedIn = ($_SESSION['logged_in']) ? TRUE : FALSE;
if($loggedIn == TRUE){
//Do stuff here for a logged in user...}`
答案 1 :(得分:0)
如果您在标题或其他文件中包含一些配置文件(可在整个网站上找到),请检入该文件以登录会话,而不是将代码添加到每个页面