dongyun8891 2012-04-26 17:40
浏览 6
已采纳

闯入SESSION变量

In every PHP file in my project I am using the following code so that nobody can get into the website without logging in:

<?php
    session_start();
    if($_SESSION['userid']!="myuserid"){
        header("Location: Adminlogon.php");
    }
?>

Note that I need only one user id, the user id and password is shared among a group of people.

Is this code safe? Can I do better?

  • 写回答

2条回答 默认 最新

  • dongpo1216 2012-04-26 18:57
    关注

    Your code is not safe, because actually it does not prevent from each script being executed - which is what you actually want to prevent.

    To prevent execution if the session is not set correctly, you need to leave the file, for example with the return statement:

    <?php
    session_start();
    if ($_SESSION['userid'] != "myuserid")
    {
        header("Location: Adminlogon.php");
        return; ### leave this script/include
    }
?>

    Instead of return you can also use the exit or die statement for rudimentary scripts.

    本回答被题主选为最佳回答 , 对您是否有帮助呢?
    评论
查看更多回答(1条)

报告相同问题?

  • 闯入SESSION变量 php
    2012-04-26 17:40
    回答 2 已采纳 Your code is not safe, because actually it does not prevent from each script being executed - whic
  • PHP闯入新行[重复] php
    2013-05-22 07:25
    回答 7 已采纳 use: $text = 'This is some text<br />With a line break in it'; $text = str_replace('<br
  • 在每第6条记录之后闯入一条新线 php
    2014-10-22 12:30
    回答 5 已采纳 set all the items with display:inline-block and after the 6th element add: <div style="clear:b
  • 如何防范 PHP安全的方式-session会话劫持与会话固定 ?
    2019-12-29 00:31
    assasinSteven的博客 然而,由于Http的无状态性,为了维持来自同一个用户的不同请求之间的状态,客户端必须发送一个唯一的身份标识符(Session ID)来表明自己的身份。很显然,这与前面提到的安全原则是相违背的,但是没有办法,为了维持...
  • 在一串文字里面提取出img和img里面的属性src javascript 正则表达式
    2022-05-06 11:10
    回答 2 已采纳 正则表达式即可<img src=\\"([\S\s]*?)" ` content: "<p><img src=\"data:image/jpeg;base64,/9j/4AA
  • 用c语言解决打家劫舍问题 c语言 有问必答
    2021-11-01 08:31
    回答 1 已采纳 LeetCode——打家劫舍问题 - Shaw_喆宇 - 博客园 Q:你是一个专业的小偷,计划偷窃沿街的房屋。每间房内都藏有一定的现金,影
  • 有关自然语言处理的问题 python 自然语言处理
    2020-03-13 15:01
    回答 2 已采纳 试试看结巴分词 https://www.jb51.net/article/126423.htm https://www.cnblogs.com/Jace06/p/7106641.html
  • Session攻击手段(会话劫持/固定)及其安全防御措施
    2018-04-20 15:01
    coder麻雀的博客 PHPSession的默认名称是PHPSESSID,此变量会保存在Cookie中,如果攻击者不分析站点,就不能猜到Session名称,阻挡部分攻击。  2、 关闭透明化Session ID。透明化Session ID指当浏览器中的Http请求没有使用Cookie...
  • IT成功之路?
    2010-03-17 20:55
    回答 10 已采纳 个人以为作为程序员的话,还是先考虑学几年技术,以后也好发展。 想学技术的话,先进小公司干起,尤其是一些外包的公司,那么是人间的地狱。累死累活没钱赚,到是可以学到很多技术。一开始到大公司的话,很多东西
  • Session攻击
    2019-10-05 02:30
    a562449131的博客  Session对于Web应用无疑是最重要的,也是最复杂的。对于web应用程序来说,加强安全性的第一条原则就是 – 不要信任来自客户端的数据,一定要进行数据验证以及过滤,才能在程序中使用,进而保存到数据层。 然而,...
  • PHP -- 基本语法
    2017-08-06 17:22
    Justin0223的博客 1. 定义变量4种方式 : $varName、${varName}、$$var、${$var} $i = 'abc'; ${'abc'} = 5000; ${$i} = 3000;//相当于把{}内字符串换为换为$i $$i = 4000;//相当于省略了{} echo $abc;//4000 2 数组赋值 var arr = ...
  • Session攻击(会话劫持+固定)与防御
    2020-09-02 14:02
    Mamba start的博客  Session对于Web应用无疑是最重要的,也是最复杂的。对于web应用程序来说,加强安全性的第一条原则就是 – 不要信任来自客户端的数据,一定要进行数据验证以及过滤,才能在程序中使用,进而保存到数据层。 然而,...
  • Session攻击(会话劫持+固定)与防御
    2019-10-30 11:35
    zhangge3663的博客 Session对于Web应用无疑是最重要的,也是最复杂的。对于web应用程序来说,加强安全性的第一条原则就是-不要信任来自客户端的数据,一定要进行数据验证以及过滤,才能再程序中使用,进而保存到数据层。然而,为了...
  • 网站安全 - 会话Session - 攻击防御(会话劫持+固定)
    2018-09-03 21:20
    Ma Ding的博客 然而,由于Http的无状态性,为了维持来自同一个用户的不同请求之间的状态,客户端必须发送一个唯一的身份标识符(Session ID)来表明自己的身份。很显然,这与前面提到的安全原则是相违背的,但是没有办法,为了维持...
  • Session攻击手段(会话劫持固定)及其安全防御措施
    2018-01-16 09:34
    kuiguowei的博客 然而,由于Http的无状态性,为了维持来自同一个用户的不同请求之间的状态,客户端必须发送一个唯一的身份标识符(Session ID)来表明自己的身份。很显然,这与前面提到的安全原则是相违背的,但是没有办法,为了维持...
  • 26项PHP安全实践
    2017-07-24 17:14
    luyaran的博客 PHP是一种开源服务器端脚本语言,应用很广泛。Apache web服务器提供了这种便利:通过HTTP或HTTPS协议,访问文件和内容。配置不当的服务器端脚本语言会带来各种各样的问题。所以,使用php时要小心。以下是25个PHP安全...
  • 系统管理员必须知道的PHP安全实践
    2011-12-01 16:21
    lonestone的博客 PHP是一种开源服务器端脚本语言,应用很广泛。Apache web服务器提供了这种便利:通过HTTP或HTTPS协议,访问文件和内容。配置不当的服务器端脚本语言会带来各种各样的问题。所以,使用PHP时要小心。以下是25个PHP安全...
  • tp5
    2018-05-06 23:46
    段天狼WOLF的博客 入口文件:用户请求的php文件,负责处理一个请求的声明周期,最常见的入口文件就是index.php.应用:一个管理系统架构及生命周期的对象,有系统的\think\App类完成,应用通常在入口文件中被调用和执行
  • 架构师必须知道的26项PHP安全实践
    2018-03-13 10:11
    fanghua_vip的博客 PHP是一种开源服务器端脚本语言,应用很广泛。Apache web服务器提供了这种便利:通过HTTP或HTTPS协议,访问文件和内容。配置不当的服务器端脚本语言会带来各种各样的问题。所以,使用php时要小心。以下是25个PHP安全...
  • 没有解决我的问题, 去提问

悬赏问题

  • ¥15 有了解d3和topogram.js库的吗?有偿请教
  • ¥100 任意维数的K均值聚类
  • ¥15 stamps做sbas-insar,时序沉降图怎么画
  • ¥15 unity第一人称射击小游戏,有demo,在原脚本的基础上进行修改以达到要求
  • ¥15 买了个传感器,根据商家发的代码和步骤使用但是代码报错了不会改,有没有人可以看看
  • ¥15 关于#Java#的问题,如何解决?
  • ¥15 加热介质是液体,换热器壳侧导热系数和总的导热系数怎么算
  • ¥100 嵌入式系统基于PIC16F882和热敏电阻的数字温度计
  • ¥15 cmd cl 0x000007b
  • ¥20 BAPI_PR_CHANGE how to add account assignment information for service line