0

管理ページがあります。ユーザーが正しい資格情報のみで管理者にログインしている場合、ユーザーが管理者ページにアクセスできるようにする必要があります。すべての管理ページでセッション変数を使用して、ユーザーがログインしていることを既に確認しています。

ただし、応答コード 300 を 200 に変更することで、burp スイートなどのツールを使用して、管理者にログインせずに管理者ページを開くことができます。

ユーザーがログアウトせずに認証されたページを表示できないようにする方法を教えてください。

4

3 に答える 3

2

ユーザーが管理者であるかどうかを宣言するフィールドをユーザーのテーブルに追加できます。

次に、PHP を使用して、現在のユーザーが管理者かどうか、ページを表示するかどうかを確認できます。

于 2014-12-31T06:39:56.903 に答える