用Session代替Apache服务器验证

对于需要身份验证的页面，使用apache服务器验证是最好不过的了。不过，apache服务器验证的界面不够友好。而且，并不是所有的情况都可以使用apache服务器验证，比如cgi模式的php，iis下的php。

2. if ($name=="" && $pass=="") 
3. { 
4. ?> 
5. "login.php"> 
6. user:"text" name="name">
    
7. pass:"text" name="pass">
    
8. "submit" value="ok"> 
9.  
11. } 
12. else 
13. { 
14. if($name!="uuu" || $pass!="ppp") 
15. { 
16. echo "login fail!"; 
17. } 
18. else 
19. { 
20. session_register("user"); 
21. session_register("passwd"); 
22. $user=$name; 
23. $passwd=$pass; 
24. echo "OK!
    next.php">next page"; 
25. } 
26. } 
27. ?> 
28.  

next.php

2. session_start(); 
3. echo "username:$user"; 
4. ?> 

但是，用户可以使用http://phpfensi.com/next.php?user=uuu 来绕过身份验证。

2. session_start(); 
3. if (!session_is_registered("user")) 
4. { 
5. echo "login fail"; 
6. } 
7. else 
8. { 
9. echo "username:$user"; 
10. } 
11. ?> 

使用session_is_registered()来检测session变量，这样，用session已经基本实现对身份的可靠验证。