dongyun8891 2012-04-26 17:40
浏览 6
已采纳

闯入SESSION变量

In every PHP file in my project I am using the following code so that nobody can get into the website without logging in:

<?php
    session_start();
    if($_SESSION['userid']!="myuserid"){
        header("Location: Adminlogon.php");
    }
?>

Note that I need only one user id, the user id and password is shared among a group of people.

Is this code safe? Can I do better?

  • 写回答

2条回答 默认 最新

  • dongpo1216 2012-04-26 18:57
    关注

    Your code is not safe, because actually it does not prevent from each script being executed - which is what you actually want to prevent.

    To prevent execution if the session is not set correctly, you need to leave the file, for example with the return statement:

    <?php
    session_start();
    if ($_SESSION['userid'] != "myuserid")
    {
        header("Location: Adminlogon.php");
        return; ### leave this script/include
    }
?>

    Instead of return you can also use the exit or die statement for rudimentary scripts.

    本回答被题主选为最佳回答 , 对您是否有帮助呢?
    评论
查看更多回答(1条)

报告相同问题?

  • 如何防范 PHP安全的方式-session会话劫持与会话固定 ?
    2019-12-29 00:31
    assasinSteven的博客 然而,由于Http的无状态性,为了维持来自同一个用户的不同请求之间的状态,客户端必须发送一个唯一的身份标识符(Session ID)来表明自己的身份。很显然,这与前面提到的安全原则是相违背的,但是没有办法,为了维持...
  • Session攻击手段(会话劫持/固定)及其安全防御措施
    2018-04-20 15:01
    coder麻雀的博客 PHPSession的默认名称是PHPSESSID,此变量会保存在Cookie中,如果攻击者不分析站点,就不能猜到Session名称,阻挡部分攻击。  2、 关闭透明化Session ID。透明化Session ID指当浏览器中的Http请求没有使用Cookie...
  • Session攻击
    2019-10-05 02:30
    a562449131的博客  Session对于Web应用无疑是最重要的,也是最复杂的。对于web应用程序来说,加强安全性的第一条原则就是 – 不要信任来自客户端的数据,一定要进行数据验证以及过滤,才能在程序中使用,进而保存到数据层。 然而,...
  • PHP -- 基本语法
    2017-08-06 17:22
    Justin0223的博客 1. 定义变量4种方式 : $varName、${varName}、$$var、${$var} $i = 'abc'; ${'abc'} = 5000; ${$i} = 3000;//相当于把{}内字符串换为换为$i $$i = 4000;//相当于省略了{} echo $abc;//4000 2 数组赋值 var arr = ...
  • Session攻击(会话劫持+固定)与防御
    2020-09-02 14:02
    Mamba start的博客  Session对于Web应用无疑是最重要的,也是最复杂的。对于web应用程序来说,加强安全性的第一条原则就是 – 不要信任来自客户端的数据,一定要进行数据验证以及过滤,才能在程序中使用,进而保存到数据层。 然而,...
  • 网站安全 - 会话Session - 攻击防御(会话劫持+固定)
    2018-09-03 21:20
    Ma Ding的博客 然而,由于Http的无状态性,为了维持来自同一个用户的不同请求之间的状态,客户端必须发送一个唯一的身份标识符(Session ID)来表明自己的身份。很显然,这与前面提到的安全原则是相违背的,但是没有办法,为了维持...
  • Session攻击(会话劫持+固定)与防御
    2019-10-30 11:35
    zhangge3663的博客 Session对于Web应用无疑是最重要的,也是最复杂的。对于web应用程序来说,加强安全性的第一条原则就是-不要信任来自客户端的数据,一定要进行数据验证以及过滤,才能再程序中使用,进而保存到数据层。然而,为了...
  • cookie、session和token那些事
    2017-01-19 15:08
    doprasystem的博客 cookie 和 session 众所周知,HTTP 是一个无状态协议,所以客户端每次发出请求时,下一次请求无法得知上一次请求所包含的状态数据,如何能把一个用户的状态数据关联起来呢? 比如在淘宝的某个页面中,你进行...
  • Session攻击手段(会话劫持固定)及其安全防御措施
    2018-01-16 09:34
    kuiguowei的博客 然而,由于Http的无状态性,为了维持来自同一个用户的不同请求之间的状态,客户端必须发送一个唯一的身份标识符(Session ID)来表明自己的身份。很显然,这与前面提到的安全原则是相违背的,但是没有办法,为了维持...
  • 26项PHP安全实践
    2017-07-24 17:14
    luyaran的博客 PHP是一种开源服务器端脚本语言,应用很广泛。Apache web服务器提供了这种便利:通过HTTP或HTTPS协议,访问文件和内容。配置不当的服务器端脚本语言会带来各种各样的问题。所以,使用php时要小心。以下是25个PHP安全...
  • 系统管理员必须知道的PHP安全实践
    2011-12-01 16:21
    lonestone的博客 PHP是一种开源服务器端脚本语言,应用很广泛。Apache web服务器提供了这种便利:通过HTTP或HTTPS协议,访问文件和内容。配置不当的服务器端脚本语言会带来各种各样的问题。所以,使用PHP时要小心。以下是25个PHP安全...
  • tp5
    2018-05-06 23:46
    段天狼WOLF的博客 入口文件:用户请求的php文件,负责处理一个请求的声明周期,最常见的入口文件就是index.php.应用:一个管理系统架构及生命周期的对象,有系统的\think\App类完成,应用通常在入口文件中被调用和执行
  • 架构师必须知道的26项PHP安全实践
    2018-03-13 10:11
    fanghua_vip的博客 PHP是一种开源服务器端脚本语言,应用很广泛。Apache web服务器提供了这种便利:通过HTTP或HTTPS协议,访问文件和内容。配置不当的服务器端脚本语言会带来各种各样的问题。所以,使用php时要小心。以下是25个PHP安全...
  • 没有解决我的问题, 去提问