PHP防止URL直接访问：检查Referer或Session方法

用户通过URL直接访问PHP文件的问题，常见于未登录状态下尝试访问需要权限的页面。为防止这种情况，可以通过检查会话（session）登录状态或来源页的 referer 来控制访问权限。以下是具体实现方式。

1. 检查 Session 登录态（推荐方式）

最可靠的方式是使用 session 验证用户是否已登录。在受保护的 PHP 页面顶部加入判断逻辑，若未登录则跳转到登录页或返回错误。

示例代码：

<font face="Courier New,Courier,monospace"><?php<br>session_start();<br><br>// 检查是否已登录（假设登录后设置 $_SESSION['user_id']）<br>if (!isset($_SESSION['user_id'])) {<br>    header('Location: login.php'); // 跳转到登录页<br>    exit;<br>}<br><br>// 正常执行后续逻辑<br>echo "欢迎进入受保护页面";<br>?></font>

确保每个需要权限的页面都先调用 session_start()，并验证关键 session 字段是否存在且合法。

2. 检查 HTTP Referer（辅助手段，不推荐单独使用）

HTTP Referer 可用于判断请求是否来自站内页面，但该方式不可靠，因为 referer 可被客户端禁用或伪造。

示例代码：

<font face="Courier New,Courier,monospace"><?php<br>$referer = $_SERVER['HTTP_REFERER'] ?? '';<br><br>// 判断 referer 是否以本站域名开头<br>if (strpos($referer, 'https://yourdomain.com') !== 0) {<br>    die('非法访问');<br>}<br><br>echo "允许访问";<br>?></font>

注意：不要依赖 referer 做核心权限控制，仅可作为额外限制或日志记录用途。

3. 综合建议：Session 为主 + URL 设计优化

为了更安全地防止 URL 直接访问，可以采取以下策略：

• 将敏感 PHP 文件放在 web 根目录之外（如放在 includes/ 或 protected/ 目录中），由前端入口文件统一调度。
• 使用路由机制，所有请求通过 index.php 分发，避免暴露实际脚本路径。
• 登录验证统一封装成函数或中间件，便于复用。
• 对 AJAX 请求也需验证 session，不能只前端拦截。

基本上就这些。关键是用 session 控制权限，referer 只能算补充。只要没登录，不管从哪访问，都应拒绝。安全的核心是服务端验证，而不是隐藏路径或依赖请求来源。