PHP包括仅用于admin的文件

时间:2013-08-23 16:54:10

标签: php include admin

我的网站由一个页面(或者最好的)组成,最重要的是处理POST和其他内容。现在,我有一些POST - 仅供管理员使用的内容。它们位于一个单独的文件中,因此我将其包括在内:

if($_SESSION['type'] == 'admin'){
    include('adminhandler.php');
}

现在,在adminhandler.php我还检查每个POST或函数用户的类型是否正确,例如:

if(isset($_POST['deleteUser']) && $_SESSION['type'] == 'admin'){ /* do stuff;*/ }

现在,我想知道这是否确实是必要的。有没有机会用户可以操作任何东西以某种方式包含一个php文件而没有$_SESSION['type'] admin

这可能是一个愚蠢的问题,但为了安全起见,我宁愿在不确定之前采取一定的措施。

1 个答案:

答案 0 :(得分:0)

正如Marc B所述(请参阅有关问题的评论),建议进行第二次检查以防我忘记。