我有管理页面。如果用户仅使用正确的凭据登录管理员,我需要允许用户访问管理页面。我已经检查用户是否在所有管理页面中使用会话变量登录。
但仍然可以通过像burp suite这样的工具,通过将响应代码更改为300到200并且能够打开管理页面而无需登录到管理员。
请告诉我如何防止用户在没有记录的情况下查看经过身份验证的页面。
答案 0 :(得分:2)
您可以在用户的表格中添加一个字段,用于声明该用户是否为管理员。
然后,您可以使用PHP询问当前用户是否为admin,以及是否应显示该页面。
答案 1 :(得分:1)
使用其他会话变量(如用户类型),以便您在登录后可以轻松获取用户类型,并且应在每个管理页面中检查此变量。如果类型不是admin,则重定向到另一个页面。
答案 2 :(得分:0)
问题已解决,数据在标题调用之前发布。这个问题出现的原因。感谢。