こんにちは、これは私の最初の質問です。私の説明が間違っていても、私を殺さないでください。データベースを使用してユーザーアカウントシステムを作成しようとしていますが、問題は、別のユーザーがログインして URL を自分のアカウント ID: index.php?us=7 から index.php?us= に変更すると、誰かがログインすることです。 270 他のユーザーの VIP ページに入ることができます。これはログイン制御コードです。
<?
//incluir librerias
include_once "funciones/funciones_BD.php";
include_once "constantes/constantes.php";
//abrir BD
Abrir_BD($link,$Servidor,$Usuario,$Clave,$BD);
$id = mysql_query("SELECT xidusuario FROM tblreferidos_usuarios WHERE xemail='".htmlentities($_REQUEST["email"])."'",$link);
$xid = mysql_fetch_row($id);
$usuario = mysql_query("SELECT xemail FROM tblreferidos_usuarios WHERE xemail='".htmlentities($_REQUEST["email"])."'",$link);
$Nusuario = mysql_num_rows($usuario);
//Si existe el usuario, validamos también la contraseña ingresada y el estado del usuario…
if($Nusuario != 0){
$clave = mysql_query("SELECT xpass FROM tblreferidos_usuarios WHERE xestado=1 AND xemail='".htmlentities($_REQUEST["email"])."' AND xpass='".htmlentities($_REQUEST["clave"])."'",$link);
$Nclave = mysql_num_rows($clave);
//Si el usuario y clave ingresado son correctos (y el usuario está activo en la BD), creamos la sesión del mismo.
if($Nclave != 0){
session_start();
//Guardamos dos variables de sesión que nos auxiliará para saber si se está o no "logueado" un usuario
$_SESSION["autentica"] = "SI";
$_SESSION["usuarioactual"] = $usuario; //nombre del usuario logueado.
//Direccionamos a nuestra página principal del sistema.
$us=$_REQUEST["email"];
header ("Location: referidos_index.php?us=$xid[0]");
}
else{
echo"<script>alert('La contrase\u00f1a del usuario no es correcta.')
window.location.href=\"referidos_login.php?\"</script>";
}
}else{
echo"<script>alert('El usuario no existe.');window.location.href=\"referidos_login.php\" </script>";
}
mysql_close($link);
?>
これは、セッションをチェックするために他のすべてのページに挿入したコードです
if(!isset($_SESSION["usuarioactual"]))
{
header("Location:referidos_login.php");
die();
}
誰かが私に問題がどこにあるのかを指摘できれば、最も素晴らしいことです!! ありがとう。