如何防止用户绕过php身份验证

时间:2015-03-17 11:39:55

标签: php html mysql authentication

为简单起见,我们称之为html1。

当用户访问html1时,会有一个login2.php登录页面,可以访问client.php,这是隐藏的页面。

然后转到checklogin.php ...如果密码和用户名匹配...则转到隐藏的client.php页面......如果没有..它返回主页。

用户必须登录才能查看隐藏的client.php页面的内容。

但是,用户可以通过在地址栏上输入.... / client.php来访问client.php ...因此绕过auth页面并使其无效。我只需输入servername / client.php ...它仍然显示client.php的内容......但我希望client.php ...是私有的!

如何防止这种情况发生?

感谢。

首次登录页面......

<html>
<head>
<title>Login Form</title>
</head>
<body>
<h2>Login Form</h2>
<table>
<form method="post" action="checklogin2.php">
<div id="name">User Id: <input type="text" name="****"></div>
<div id="password">Password: <input type="password" name="*******"></div>
<div class="button"><input type="submit" value="Login"></div>
</form>
</table>
</body>
</html>

然后它去.... checklogin2.php

 <?php
    $*** = $_POST['****'];
    $***** = $_POST['***'];

if($uid == '****' and $***** == '*****')
{
        session_start();
        $_SESSION['sid']=session_id();
        header("location:securepage.php");
}


else
        {
                header("location:index.html");
        }
?>

然后它去...... securepage.php

<?php
        session_start();
        if($_SESSION['sid']==session_id())
        {

 header("location:client.php");

                echo "<a href='logout.php'>Logout</a>";
        }
        else
        {
                header("location:login.php");
        }
?>

3 个答案:

答案 0 :(得分:3)

在每个页面的开头,您必须检查用户是否已获得授权。

checklogin.php上如果用户输入了正确的登录名和密码,只需设置类似

的内容即可
$_SESSION['authorized'] = TRUE;

...在其他页面上只检查用户是否获得授权:

if (isset($_SESSION['authorized']) && $_SESSION['authorized'] === TRUE) {
    // Alright, let's show all the hidden functionality!
    echo "Psst! Hey! Wanna buy some weed?";
} else {
    // User is not authorized!
    header('Location: login.php');
    exit();
}

请注意,您不必弄乱Cookie,会话ID等。 - 只需在所有内容之前添加session_start()并自由使用$_SESSION var。

这是会话的主要推荐者(特别是$_SESSION变量):您可以记住同一网站上不同网页中的某些数据。

答案 1 :(得分:2)

所有页面都必须检查用户是否已经过操作。我建议使用对象,并始终继承一个为您检查这个的类。在任何地方使用相同的代码并做同样的事情并不好玩。

答案 2 :(得分:0)

if($_SERVER["PHP_SELF"] == '/yourpagefolder/yourpage.php' && !isset($_SESSION['login_user'])){
    header('location: login.php');
}