PHPライブチャットシステムにおけるユーザー認証と許可管理メカニズムの分析

 
$username = $_POST['username'];
$password = $_POST['password'];
if ($username == 'admin' && $password == '123456') {
    // 正しいユーザー名とパスワード，チャットルームのページにジャンプします
    header("Location: chatroom.php");
    exit;
} else {
    // 間違ったユーザー名またはパスワード，エラーメッセージを表示します
    echo "間違ったユーザー名またはパスワード";
}

 
session_start();
if (!isset($_SESSION['user_id'])) {
    // ユーザーはログインしていません，ログインページにジャンプします
    header("Location: login.php");
    exit;
}
// ユーザーがログインしました，チャットルームとチャット履歴へのアクセス

 
$record_id = $_GET['record_id'];
// チャット履歴にアクセスしてください
$sql = "SELECT access_level FROM chat_records WHERE id = $record_id";
$result = mysqli_query($conn, $sql);
if (!$result) {
    // クエリに失敗しました
    echo "クエリに失敗しました：" . mysqli_error($conn);
} else {
    $row = mysqli_fetch_assoc($result);
    $access_level = $row['access_level'];
    session_start();
    if ($_SESSION['user_role'] == 'admin' || $access_level == 'public' || ($access_level == 'private' && $_SESSION['user_id'] == $row['user_id'])) {
        // ユーザーはチャット履歴にアクセスできます
    } else {
        // ユーザーはチャット履歴にアクセスする許可を持っていません，エラーページにジャンプします
        header("Location: error.php");
        exit;
    }
}