我正在为自定义CMS开发管理系统。在我作为管理站点一部分的所有页面上,我使用了check_user()函数。 check_user()函数只执行此操作:
function check_user()
{
session_start();
if ($_SESSION['username'] == "admin") {
} else {
header("location:admin.php");
}
}
虽然看起来有点简单,但这足以让不受欢迎的成员远离网站吗? $ _SESSION [] vars有多可利用?有什么建议可以改善这个功能吗?
提前致谢!
答案 0 :(得分:1)
在给定代码中,如果register_globals关闭,则$ _SESSION无法被利用(在所有最新安装中将关闭...但只是为了确定)
虽然取决于这些会话参数的设置方式,但可以利用它。 (例如,使用请求参数作为会话变量中的键)
为了改进此代码,我建议始终开始一个会话,独立于check_user调用。这使您可以重用check_user。