javascript - 检查可能不存在的 session 变量

Question

我有一个在用户登录时启动的 session ，但某些代码可能会被要求提供可能尚不存在的 session 变量，是否仍然有一种方法可以在此处检查变量，或者是否有其他方法可以解决此问题.

如果用户不是管理员，PHP 会隐藏一个框，但该检查可能在用户登录之前进行。我将如何检查该 session 变量值？

我尝试将代码移动到一个单独的页面以隐藏该框，例如登录页面，但无济于事，登录是一个弹出窗口，而不是另一个窗口。

session_start();

$connect= new mysqli('localhost', 'root', '', 'login') or die("connection failure, please try again later");

$username= $_GET["username"] ?? '';
$password= $_GET["password"] ?? '';

echo "<br>","$username";

$getsalt="SELECT * FROM users WHERE uname='$username'";

$salt= $connect->query($getsalt);

$currentsalt = "";

while($row=$salt->fetch_assoc()) {
    $currentsalt = $row["salt"];
    $_SESSION["uname"] = $row["uname"];
    $_SESSION["id"] = $row["id"];
    echo'<br>', 'is admin ', $row['is_admin'];
    $_SESSION["is_admin"] = 1;
    if($row["is_admin"] == 1) {
        echo 'is  admin';
        $_SESSION["is_admin"] = 1;
    } else {
        echo 'is not admin';
    }
}
echo "<br>","$password";
echo "<br>", $currentsalt;

if($currentsalt == null) {
        echo "user doesnt exist";
} else {
$hashed= sha1($password.$currentsalt);

echo "<br>", $hashed;

$getaccount="SELECT * FROM users WHERE uname='$username' AND pass='$hashed'";

$result= $connect->query($getaccount);

if($result-> num_rows>0) {
    while($row=$result->fetch_assoc()) {
        echo "<br>","Admin name is: " . $row["uname"];
        header("Location: /index.php");
    }
} else {
    echo "<br>","sorry password was incorrect";
}
}

Answer 1

Edit: Added a new answer based on the latest comments.

我将分两部分回答你的问题。

检查 session 变量是否已设置。

您可以使用 empty() 检查变量是否存在

if (empty($_SESSION['is_admin'])) {
    // do the action if the currently logged in user is not an admin
} else {
    // do the action if an admin user is logged in
}

No warning is generated if the variable does not exist. That means empty() is essentially the concise equivalent to !isset($var) || $var == false.

对所有 protected 页面执行登录检查。

建议在为登录用户保留的所有页面顶部添加登录检查。

您可以按如下方式添加登录检查。

创建一个名为 checkLogin() 的辅助函数

function checkLogin(){
    if (!empty($_SESSION['user_id'])) {
        return true;
    } else {
        header("Location: https://YOUR_LOGIN_PAGE_URL");
        die();
}

然后，无论您想要限制未经授权的用户访问页面，请包含此 checkLogin() 函数。

确保您已将此函数添加到您的应用程序通用的文件中