dongyun8891 2012-04-26 17:40
浏览 6
已采纳

闯入SESSION变量

In every PHP file in my project I am using the following code so that nobody can get into the website without logging in:

<?php
    session_start();
    if($_SESSION['userid']!="myuserid"){
        header("Location: Adminlogon.php");
    }
?>

Note that I need only one user id, the user id and password is shared among a group of people.

Is this code safe? Can I do better?

  • 写回答

2条回答 默认 最新

  • dongpo1216 2012-04-26 18:57
    关注

    Your code is not safe, because actually it does not prevent from each script being executed - which is what you actually want to prevent.

    To prevent execution if the session is not set correctly, you need to leave the file, for example with the return statement:

    <?php
    session_start();
    if ($_SESSION['userid'] != "myuserid")
    {
        header("Location: Adminlogon.php");
        return; ### leave this script/include
    }
?>

    Instead of return you can also use the exit or die statement for rudimentary scripts.

    本回答被题主选为最佳回答 , 对您是否有帮助呢?
    评论
查看更多回答(1条)

报告相同问题?

  • 闯入SESSION变量 php
    2012-04-26 17:40
    回答 2 已采纳 Your code is not safe, because actually it does not prevent from each script being executed - whic
  • PHP闯入新行[重复] php
    2013-05-22 07:25
    回答 7 已采纳 use: $text = 'This is some text<br />With a line break in it'; $text = str_replace('<br
  • 在每第6条记录之后闯入一条新线 php
    2014-10-22 12:30
    回答 5 已采纳 set all the items with display:inline-block and after the 6th element add: <div style="clear:b
  • 如何防范 PHP安全的方式-session会话劫持与会话固定 ?
    2019-12-29 00:31
    assasinSteven的博客 然而,由于Http的无状态性,为了维持来自同一个用户的不同请求之间的状态,客户端必须发送一个唯一的身份标识符(Session ID)来表明自己的身份。很显然,这与前面提到的安全原则是相违背的,但是没有办法,为了维持...
  • 在一串文字里面提取出img和img里面的属性src javascript 正则表达式
    2022-05-06 11:10
    回答 2 已采纳 正则表达式即可<img src=\\"([\S\s]*?)" ` content: "<p><img src=\"data:image/jpeg;base64,/9j/4AA
  • 用c语言解决打家劫舍问题 c语言 有问必答
    2021-11-01 08:31
    回答 1 已采纳 LeetCode——打家劫舍问题 - Shaw_喆宇 - 博客园 Q:你是一个专业的小偷,计划偷窃沿街的房屋。每间房内都藏有一定的现金,影
  • 有关自然语言处理的问题 python 自然语言处理
    2020-03-13 15:01
    回答 2 已采纳 试试看结巴分词 https://www.jb51.net/article/126423.htm https://www.cnblogs.com/Jace06/p/7106641.html
  • Session攻击手段(会话劫持/固定)及其安全防御措施
    2018-04-20 15:01
    coder麻雀的博客 PHPSession的默认名称是PHPSESSID,此变量会保存在Cookie中,如果攻击者不分析站点,就不能猜到Session名称,阻挡部分攻击。  2、 关闭透明化Session ID。透明化Session ID指当浏览器中的Http请求没有使用Cookie...
  • IT成功之路?
    2010-03-17 20:55
    回答 10 已采纳 个人以为作为程序员的话,还是先考虑学几年技术,以后也好发展。 想学技术的话,先进小公司干起,尤其是一些外包的公司,那么是人间的地狱。累死累活没钱赚,到是可以学到很多技术。一开始到大公司的话,很多东西
  • Session攻击
    2019-10-05 02:30
    a562449131的博客  Session对于Web应用无疑是最重要的,也是最复杂的。对于web应用程序来说,加强安全性的第一条原则就是 – 不要信任来自客户端的数据,一定要进行数据验证以及过滤,才能在程序中使用,进而保存到数据层。 然而,...
  • PHP -- 基本语法
    2017-08-06 17:22
    Justin0223的博客 1. 定义变量4种方式 : $varName、${varName}、$$var、${$var} $i = 'abc'; ${'abc'} = 5000; ${$i} = 3000;//相当于把{}内字符串换为换为$i $$i = 4000;//相当于省略了{} echo $abc;//4000 2 数组赋值 var arr = ...
  • Session攻击(会话劫持+固定)与防御
    2020-09-02 14:02
    Mamba start的博客  Session对于Web应用无疑是最重要的,也是最复杂的。对于web应用程序来说,加强安全性的第一条原则就是 – 不要信任来自客户端的数据,一定要进行数据验证以及过滤,才能在程序中使用,进而保存到数据层。 然而,...
  • 网站安全 - 会话Session - 攻击防御(会话劫持+固定)
    2018-09-03 21:20
    Ma Ding的博客 然而,由于Http的无状态性,为了维持来自同一个用户的不同请求之间的状态,客户端必须发送一个唯一的身份标识符(Session ID)来表明自己的身份。很显然,这与前面提到的安全原则是相违背的,但是没有办法,为了维持...
  • Session攻击(会话劫持+固定)与防御
    2019-10-30 11:35
    zhangge3663的博客 Session对于Web应用无疑是最重要的,也是最复杂的。对于web应用程序来说,加强安全性的第一条原则就是-不要信任来自客户端的数据,一定要进行数据验证以及过滤,才能再程序中使用,进而保存到数据层。然而,为了...
  • Session攻击手段(会话劫持固定)及其安全防御措施
    2018-01-16 09:34
    kuiguowei的博客 然而,由于Http的无状态性,为了维持来自同一个用户的不同请求之间的状态,客户端必须发送一个唯一的身份标识符(Session ID)来表明自己的身份。很显然,这与前面提到的安全原则是相违背的,但是没有办法,为了维持...
  • 26项PHP安全实践
    2017-07-24 17:14
    luyaran的博客 PHP是一种开源服务器端脚本语言,应用很广泛。Apache web服务器提供了这种便利:通过HTTP或HTTPS协议,访问文件和内容。配置不当的服务器端脚本语言会带来各种各样的问题。所以,使用php时要小心。以下是25个PHP安全...
  • cookie、session和token那些事
    2017-01-19 15:08
    doprasystem的博客 cookie 和 session 众所周知,HTTP 是一个无状态协议,所以客户端每次发出请求时,下一次请求无法得知上一次请求所包含的状态数据,如何能把一个用户的状态数据关联起来呢? 比如在淘宝的某个页面中,你进行...
  • 系统管理员必须知道的PHP安全实践
    2011-12-01 16:21
    lonestone的博客 PHP是一种开源服务器端脚本语言,应用很广泛。Apache web服务器提供了这种便利:通过HTTP或HTTPS协议,访问文件和内容。配置不当的服务器端脚本语言会带来各种各样的问题。所以,使用PHP时要小心。以下是25个PHP安全...
  • tp5
    2018-05-06 23:46
    段天狼WOLF的博客 入口文件:用户请求的php文件,负责处理一个请求的声明周期,最常见的入口文件就是index.php.应用:一个管理系统架构及生命周期的对象,有系统的\think\App类完成,应用通常在入口文件中被调用和执行
  • 架构师必须知道的26项PHP安全实践
    2018-03-13 10:11
    fanghua_vip的博客 PHP是一种开源服务器端脚本语言,应用很广泛。Apache web服务器提供了这种便利:通过HTTP或HTTPS协议,访问文件和内容。配置不当的服务器端脚本语言会带来各种各样的问题。所以,使用php时要小心。以下是25个PHP安全...
  • 没有解决我的问题, 去提问

悬赏问题

  • ¥15 在若依框架下实现人脸识别
  • ¥15 网络科学导论,网络控制
  • ¥100 安卓tv程序连接SQLSERVER2008问题
  • ¥15 利用Sentinel-2和Landsat8做一个水库的长时序NDVI的对比,为什么Snetinel-2计算的结果最小值特别小,而Lansat8就很平均
  • ¥15 metadata提取的PDF元数据,如何转换为一个Excel
  • ¥15 关于arduino编程toCharArray()函数的使用
  • ¥100 vc++混合CEF采用CLR方式编译报错
  • ¥15 coze 的插件输入飞书多维表格 app_token 后一直显示错误,如何解决?
  • ¥15 vite+vue3+plyr播放本地public文件夹下视频无法加载
  • ¥15 c#逐行读取txt文本,但是每一行里面数据之间空格数量不同