我的网站由一个页面(或者最好的)组成,最重要的是处理POST和其他内容。现在,我有一些POST - 仅供管理员使用的内容。它们位于一个单独的文件中,因此我将其包括在内:
if($_SESSION['type'] == 'admin'){
include('adminhandler.php');
}
现在,在adminhandler.php我还检查每个POST或函数用户的类型是否正确,例如:
if(isset($_POST['deleteUser']) && $_SESSION['type'] == 'admin'){ /* do stuff;*/ }
现在,我想知道这是否确实是必要的。有没有机会用户可以操作任何东西以某种方式包含一个php文件而没有$_SESSION['type'] admin?
这可能是一个愚蠢的问题,但为了安全起见,我宁愿在不确定之前采取一定的措施。