PHP如何实现用户权限控制

在PHP中实现用户权限控制通常涉及以下几个步骤：

1. 用户认证（Authentication）：验证用户的身份，通常是通过用户名和密码。
2. 用户授权（Authorization）：确定用户具有哪些权限，并根据这些权限控制对资源的访问。

下面是一个简单的示例，展示如何在PHP中实现基本的用户权限控制：

1. 用户认证

首先，我们需要一个简单的用户认证系统。我们可以使用数据库来存储用户信息，并使用PHP脚本来验证用户名和密码。

数据库表结构

CREATE TABLE users (
    id INT AUTO_INCREMENT PRIMARY KEY,
    username VARCHAR(50) NOT NULL UNIQUE,
    password VARCHAR(255) NOT NULL,
    role VARCHAR(50) NOT NULL
);

用户认证脚本

<?php
// 数据库连接
$servername = "localhost";
$username = "root";
$password = "";
$dbname = "myDB";

$conn = new mysqli($servername, $username, $password, $dbname);

if ($conn->connect_error) {
    die("Connection failed: " . $conn->connect_error);
}

// 用户登录表单
if ($_SERVER["REQUEST_METHOD"] == "POST") {
    $username = $_POST['username'];
    $password = $_POST['password'];

    // 防止SQL注入
    $username = $conn->real_escape_string($username);
    $password = $conn->real_escape_string($password);

    // 查询用户
    $sql = "SELECT * FROM users WHERE username = '$username'";
    $result = $conn->query($sql);

    if ($result->num_rows > 0) {
        $user = $result->fetch_assoc();

        // 验证密码
        if (password_verify($password, $user['password'])) {
            // 认证成功，设置会话
            session_start();
            $_SESSION['user_id'] = $user['id'];
            $_SESSION['username'] = $user['username'];
            $_SESSION['role'] = $user['role'];
            header("Location: dashboard.php");
        } else {
            echo "Invalid password.";
        }
    } else {
        echo "User not found.";
    }
}

$conn->close();
?>

2. 用户授权

接下来，我们需要根据用户的角色来控制对不同资源的访问。

示例页面

我们创建两个页面：dashboard.php（只有管理员可以访问）和public.php（所有用户都可以访问）。

public.php

<?php
session_start();

if (!isset($_SESSION['user_id'])) {
    header("Location: login.php");
    exit();
}
?>
<!DOCTYPE html>
<html>
<head>
    <title>Public Page</title>
</head>
<body>
    <h1>Welcome to the Public Page</h1>
    <p>This is a public page accessible to all users.</p>
</body>
</html>

dashboard.php

<?php
session_start();

if (!isset($_SESSION['user_id'])) {
    header("Location: login.php");
    exit();
}

$conn = new mysqli($servername, $username, $password, $dbname);

if ($conn->connect_error) {
    die("Connection failed: " . $conn->connect_error);
}

// 检查用户角色
$sql = "SELECT role FROM users WHERE id = " . $_SESSION['user_id'];
$result = $conn->query($sql);
$user = $result->fetch_assoc();
$role = $user['role'];

if ($role != 'admin') {
    header("Location: public.php");
    exit();
}
?>
<!DOCTYPE html>
<html>
<head>
    <title>Dashboard</title>
</head>
<body>
    <h1>Welcome to the Dashboard</h1>
    <p>This is a dashboard accessible only to admin users.</p>
</body>
</html>

总结

以上示例展示了如何在PHP中实现基本的用户权限控制。实际应用中，你可能需要更复杂的逻辑，例如使用ORM库来处理数据库操作，使用更安全的密码存储方法（如bcrypt），以及更详细的权限管理系统。