本文介绍如何在php登录系统中，根据数据库中存储的用户课程代码（如tg111、tg112），安全、高效地将用户重定向至对应专属页面，并避免无限重定向与逻辑错误。

在构建基于角色或课程权限的Web应用时，常见需求是：用户登录后，仅能访问与其身份严格匹配的专属页面（例如学生“yyy”的KURS字段为"TG111"，则只能进入TG111.php；若尝试直接访问TG112.php，应被拦截并跳转回首页）。您提供的原始代码存在严重逻辑缺陷——它在TG111.php中反复检查$_SESSION['KURS']，却仍执行header('Location: TG111.php')，导致无限自我重定向（302 loop），浏览器会报错“ERR_TOO_MANY_REDIRECTS”。

正确的做法是：将权限校验逻辑集中到统一入口（如dashboard.php或redirect_handler.php），而非分散在每个目标页面内。以下是推荐实现方案：

✅ 正确流程设计

1. 用户登录成功后，从数据库读取其KURS值（如'TG111'），存入$_SESSION['KURS']；
2. 跳转至一个中央调度页（如access_control.php），该页不渲染HTML，仅做权限判断与重定向；
3. 根据$_SESSION['KURS']值，精确跳转至对应.php页面；
4. 所有具体课程页面（如TG111.php）不再包含重定向逻辑，仅专注业务展示与操作。

✅ 推荐代码实现（access_control.php）

✅ 各课程页面（如TG111.php）精简版（无重定向逻辑）

  
  


  
Welcome to TG111
  Log Out

⚠️ 关键注意事项

• 永远使用exit()或die()紧随header()之后，防止后续代码意外执行；
• 白名单校验（如$allowed_pages数组）比黑名单更安全，可杜绝恶意构造KURS=../../../etc/passwd等攻击；
• 避免在目标页面内自我跳转（如原代码中TG111.php → TG111.php），这是循环重定向的根源；
• 登录验证、会话启动（session_start()）必须在任何输出（含空格、BOM）前调用；
• 生产环境建议结合HTTPS、session.cookie_httponly和CSRF Token提升安全性。

通过以上结构化设计，您不仅能解决当前重定向失败问题，还能为未来扩展更多课程页面（如TG201.php）提供清晰、可维护的权限控制框架。