1

通常のユーザーを入力するページと、管理者が入力する /admin のような 2 つの「ページ」があるポータルを構築しようとしています。私はセッションを使用していますが、問題は、ユーザーがログインすると、管理領域にもアクセスでき、その逆も可能であることです。何故ですか?

どうすればそれを防ぐことができますか?

ありがとう。

check_login

<?php
define(DOC_ROOT,dirname(__FILE__)); // To properly get the config.php file
$username = $_POST['username']; //Set UserName
$password = $_POST['password']; //Set Password
$msg ='';
if(isset($username, $password)) {
    ob_start();
    include(DOC_ROOT.'/config.php'); //Initiate the MySQL connection
    // To protect MySQL injection (more detail about MySQL injection)
    $myusername = stripslashes($username);
    $mypassword = stripslashes($password);
    $myusername = mysqli_real_escape_string($dbC, $myusername);
    $mypassword = mysqli_real_escape_string($dbC, $mypassword);
    $sql="SELECT * FROM login_admin WHERE user_name='$myusername' and user_pass=SHA1('$mypassword')";
    $result=mysqli_query($dbC, $sql);
    // Mysql_num_row is counting table row
    $count=mysqli_num_rows($result);
    // If result matched $myusername and $mypassword, table row must be 1 row
    if($count==1){
        // Register $myusername, $mypassword and redirect to file "admin.php"
        session_register("admin");
        session_register("password");
        $_SESSION['name']= $myusername;
        header("location:index.php");
    }
    else {
        $msg = "Wrong Username or Password. Please retry";
        header("location:login.php?msg=$msg");
    }
    ob_end_flush();
}
else {
    header("location:login.php?msg=Please enter some username and password");
}
?>

すべてのページの前に挿入するもの:

<?php
session_start(); //Start the session
define(ADMIN,$_SESSION['name']); //Get the user name from the previously registered super global variable
if(!session_is_registered("admin")){ //If session not registered
header("location:login.php"); // Redirect to login.php page
}
else //Continue to current page
header( 'Content-Type: text/html; charset=utf-8' );
?>
4

3 に答える 3

1

次のように2つのセッション変数を作成します

$_SESSION['user']//can access only one page
$_SESSION['admin']//can access both

isset($_session['user'])またはによってそれらの存在を確認しますisset($_session['admin'])

于 2012-06-24T06:54:51.100 に答える
1

ユーザーが正常に承認されたら、彼が管理者または通常のユーザーであるかどうかを確認します。したがって、管理者ユーザーに対して管理者セッション変数を定義するとしましょう

$_SESSION['admin_user'] = True

次に、管理セクションを表示する前に、ユーザーが適切な権限を持っているかどうかを確認してください。

if ($_SESSION['admin_user']) {
       // display admin content
}
else {
      print("Not available, you need admin privilege.");
}

したがって、あなたのコードに基づいて、次のように変更します。

<?php
  session_start(); //Start the session
  if( isset($_SESSION['admin']) && $_SESSION['admin_user'] ){ //If session registered and admin
     header( 'Content-Type: text/html; charset=utf-8' );
     // more content
   }
  else 
     header("location: login.php"); // Redirect to login.php page
?>

また、 session_registerは廃止され、php 5.4 から削除されたため、代わりに $_SESSION['variable_name'] を使用してください。

于 2012-06-24T07:00:31.053 に答える
-1

これはあなたがすべきことです:

    // and 956 in ur db is admin, user enters the userID in login

    if(_SESSION['userID']=="956")
     {

            redirect_to("localhost/admin.php");
     }
     else
     {
            redirect_to ("localhost/home.php");

      }
于 2012-06-24T06:54:39.837 に答える