私のサイトは、単一のページ (またはほとんどすべて) で構成されており、その上にすべての処理が含まれていPOSTます。現在、POST管理者専用のものがあります。これらは別のファイルにあるため、次のように含めます。
if($_SESSION['type'] == 'admin'){
include('adminhandler.php');
}
ここで、adminhandler.php各POSTまたは関数で、ユーザーのタイプが正しいかどうかも確認します。次に例を示します。
if(isset($_POST['deleteUser']) && $_SESSION['type'] == 'admin'){ /* do stuff;*/ }
今、これが本当に必要かどうか疑問に思っています。ユーザーが何かを操作して、$_SESSION['type']ofなしで何らかの方法で php ファイルを含めることができる可能性はありadminますか?
これはおそらくばかげた質問ですが、セキュリティのために、不確実性の前に確実なものを取り上げたいと思います。