管理面板适用于普通用户!它需要密码才能访问它,但是当我使用acunetix的http编辑器访问它时,它会打开管理面板而不进行验证。 我正在使用一个函数来检查管理员是否已登录。如果没有,则重定向到登录页面! 这里的功能代码请帮帮我吧!感谢。
- > full()函数为mysqli_real_escape_string(htmlspecialchar());
- > acunetix是应用漏洞测试人员。
function admin_check() {
global $users, $mysqli;
if(isset($_COOKIE['username'])){
$username = full($_COOKIE['username']);
$password = full($_COOKIE['password']);
$id = full($_COOKIE['id']);
if(is_numeric($id)){
$id = $id;
if($id < 0){
$id = (-1)*$id;
}
}
else {
$id = 10;
}
$query = "SELECT * FROM $users WHERE username = '{$username}' and password = '{$password}' and id = $id ";
$query_process = mysqli_query($mysqli, $query);
if(!$query_process){
die_message("There was some error checking admin login");
}
$check_rows = mysqli_num_rows($query_process);
if($check_rows != 1){
header("location: login.php");
}
while($rows = mysqli_fetch_assoc($query_process)){
$admin_role = $rows['admin_role'];
}
if($admin_role != 1){
header("location: logout.php");
}
}//end of first if
else {
header("location: login.php");
}
}// end of function
答案 0 :(得分:0)
我猜一个错误可能是因为脚本在执行后仍然继续执行
标题(“location:login.php”);
删除它的一种可能方法是使用die()函数。只需在你正在制作的每个标题重定向后添加die()。