用户注册时会将默认的“member_type”指定为“User”。我正在尝试使用存储在header.php中的函数限制使用$ _SERVER ['SCRIPT_NAME']从“用户”和未经身份验证的访问者访问某些页面。
这个概念是合理的(我相信),但我真的需要一些新的眼睛来帮助我解决逻辑。
以下是标题中的函数:
$basicAuth = array("member.php", "order.php", "logout.php");
$adminonly = array("admin.php", "v_feedback.php", "user.php", "v_content.php", "product.php");
restrictAccess($basicAuth, $adminonly);
这是完整的功能:
function restrictAccess($basicAuth, $adminonly){
$error = "You do not have the authentication privileges to access this area, go <a href=\"index.php\" alt=\"Home\">home</a>.";
if (isset($_SESSION['type'])){
$auth = "Basic";
if($_SESSION['type']=="Admin"){
$auth = "Admin";
}
} else {
$auth = "None";
}
//For testing purposes
echo $auth;
if ($auth == "None"){
if(($_SERVER['SCRIPT_NAME']==$basicAuth)||($_SERVER['SCRIPT_NAME']==$adminonly)){
echo $error;
exit();
}
}elseif($auth =="Basic"){
if(($_SERVER['SCRIPT_NAME'])==$adminonly){
echo $error;
exit();
}
}
}
我有一种感觉,它与我构建错误的方式背后的逻辑有关。
谢谢。
答案 0 :(得分:0)
if($_SERVER['SCRIPT_NAME']==$basicAuth)完全错了。
您无法比较数组和字符串。
if(array_search($_SERVER['SCRIPT_NAME'],$basicAuth) !== FALSE)可以投放,但您最好使用密钥而不是值,然后使用if(array_key_exists($_SERVER['SCRIPT_NAME'],$basicAuth))。
而且,顺便说一下,将“basicAuthNeeded.php”包含在某些脚本中并将“adminAuthNeeded.php”包含在其他脚本而不是您的方法中是不是更简单?
或者使用更复杂但更灵活的方法(定义一些角色,定义资源并使用一些checkPermissions($role, $resource))?