ユーザーにユーザー名とパスワードを要求するPHPログインスクリプトを使用しています。
認証されたプログラムがセッション値を保存すると。ログアウト時に、セッション値はブランクに設定されます。
ログアウトしたら、ユーザーが戻るボタンを数回押して、データの画面を表示したり、誤ってログインし直したりすることを許可しないようにします。
検証済みのユーザーを新しいページに送信するためのリダイレクトであるセッションを使用しています。エラーやリダイレクトを防ぐために、ob_start、ob_flush、ob_end_cleanも使用しています。
質問:これは本当に安全ですか?これは一般的なアプローチですか?
バッファリングの代替手段はありますか?
以下は、小さな概念実証です。
<?php
header("Cache-Control: no-cache, must-revalidate");
header("Expires: Sat, 26 Jul 1997 05:00:00 GMT");
header("Pragma: public");
session_cache_limiter('nocache');
// I'm not sure how effective any of the above seem to be.
session_start();
// start buffering because if we use header later we want to avoid error
ob_start();
echo "Type <b>in</b> or <b>out</b> to login/logout<br>";
?>
<form action='' method='POST'>
<input type='text' name='status' size='10' value=""><br/><br/>
<p> </p>
<input type='submit' name='Login' value='Login' /></form></p>
<?php
if ($_POST['status'] == 'in')
{
$_SESSION['logged_in'] = 'in';
ob_end_clean(); // clean and erase buffer so far
header('location:test2.php');
exit;
}
if ($_POST['status'] == 'out')
{
$_SESSION['logged_in'] = 'no';
echo "you are logged out <br>";
}
ob_flush(); // push output
echo "login status = " . $_SESSION['logged_in'] ;
?>
file test2.php
<?php
echo "You have logged in";
?>