我很好奇这是否是我的设置问题,或者如果不小心使用auto_prepend_file会自然导致无限循环。
我的php.ini文件
auto_prepend_file = "/etc/prepend.php"
然后我试图访问一个简单的php文件
的index.php:
<!DOCTYPE html PUBLIC "-//IETF//DTD HTML 2.0//EN">
<HTML>
<HEAD>
<TITLE>
A Small Hello From The Tester
</TITLE>
</HEAD>
<BODY>
<H1>TESTER</H1>
<P>This is very minimal "hello world" HTML document.</P>
</BODY>
</HTML>
会话文件我或多或少地从this site中拉出来。我意识到它不是最先进的安全性,但它足以用于测试目的。
passwords.php:
<?php
$USERS['username1'] = 'password1';
$USERS['username2'] = 'password2';
$USERS['username3'] = 'password3';
/**
** Query function to see if we are logged in. If the user is logged in,
* the flow continues. If not, the user is redirected to a login screen.
* @method check_logged
**/
function check_logged(){
global $_SESSION, $USERS;
if (!array_key_exists($_SESSION['logged'],$USERS)) {
header('Location: /etc/login.php');
};
};
?>
的login.php:
<?php
/**
* Initialize session
*/
session_start();
/**
* Include passwords.php which will check to see if we are logged in
*/
include("/etc/passwords.php");
/**
* I think this checks to see if the form has been submitted
*/
if ($_POST["ac"]=="log") {
if ($USERS[$_POST["username"]] == $_POST["password"]) {
//username and password exist in $USERS array
$_SESSION["logged"]=$_POST["username"];
} else {
echo 'Incorrect username/password. Please, try again.';
};
};
if (array_key_exists($_SESSION["logged"],$USERS)) { //// check if user is logged or not
echo "You are logged in."; //// if user is logged show a message
} else { //// if not logged show login form
echo '<form action="login.php" method="post"><input type="hidden" name="ac" value="log"> ';
echo 'Username: <input type="text" name="username" /><br />';
echo 'Password: <input type="password" name="password" /><br />';
echo '<input type="submit" value="Login" />';
echo '</form>';
};
?>
prepend.php:
<?php
/**
* Initialize session
*/
session_start();
/**
* Include passwords.php which will check to see if we are logged in
*/
include('/etc/passwords.php');
/**
* Check to see if we are logged in or not. If not, the
* user is redirected to login.php page
*/
check_logged();
?>
现在,如果我转到网络浏览器并输入www.example.com/index.php,则Chrome会抱怨
此网页有一个重定向循环网页 http://www.example.com/etc/login.php导致了太多 重定向。清除本网站的cookie或允许第三方 cookies可以解决问题。如果没有,它可能是一个服务器 配置问题,而不是您的计算机的问题。这是 一些建议:稍后重新加载此网页。了解更多相关信息 问题。错误310(net :: ERR_TOO_MANY_REDIRECTS):太多了 重定向。
如果您想知道,清除缓存并不能解决问题。看看代码,谁能告诉我,重定向循环是否会自然而然地产生?如果是这样,我该如何解决这个问题。如果没有,任何关于为什么会发生这种情况的想法?如有必要,我也可以发布我的虚拟主机配置文件。
答案 0 :(得分:0)
Puk,您无法从autoprepend脚本中执行登录/注销代码。为什么?因为如果我是您的一个用户,为了使其正常工作,这些脚本尤其是passwords.php(或者如果您要将其存储在数据库中的访问凭据)必须是我的UID可读的,您使用的是suPHP。这意味着我可以访问其他用户的凭据。然后,我可以使用它来模拟该UserB的登录,从而访问他的网页。
我在our chat上解释了如何执行此操作。
顺便说一下,回答你提出的问题:“我很好奇这是否是我的设置问题,或者如果不小心使用auto_prepend_file会自然导致无限循环。”A :您的代码中存在逻辑缺陷。登录表单有一个操作“logon.php”,然后在处理登录脚本之前执行前置。此prepend.php检测到用户未登录,因此重定向到logon.php。因此,chrome会检测到对logon.php的请求会重定向到logon.php并引发您列出的错误。