管理員登錄和上傳安全

Question

我有一個漫畫網站，我想我的上傳圖像路徑到數據庫。

我有一個登錄界面，檢查這樣正確的憑據：

  <?php 

     $username = isset($_POST['username']) ? $_POST['username'] : ""; 
     $password = isset($_POST['pw']) ? $_POST['pw'] : ""; 


     if($_SERVER['REQUEST_METHOD'] == 'POST') { 
      if(verify($username, $password) == 1) { 
       header("Location: ?action=admin"); 
      } 
      else { 
       echo "<center>Incorrect credentials</center>"; 
      } 
     } 

     function verify($user, $pw) { 
      include './scripts/dbconnect.php'; 

      $result = $mysqli->query("SELECT username, password FROM users WHERE username='" . $user . "' AND password='" . $pw . "'"); 

      return $result->num_rows; 
     } 

     include 'include/footer.php'; 
     ?> 

然後將它們記錄在上傳畫面。

不幸的是，所有的用戶所要做的就是猜出我的網址可能是上傳網頁，讓他們可以跳過我的登錄屏幕...

/HTWS /？動作=登錄（只需更換「登錄」與'管理員'，你在那裏...）所以，我的第一道防線將不會讓我的上傳頁面名稱如此明顯......但如果用戶仍然猜測它會發生什麼......我可以驗證另一種方式，不會讓他們只是改變了網址？

謝謝！

Answer 1

那麼這是非常不安全的。你想要做的是在登錄時設置一些會話變量（$_SESSION[user_id]，$_SESSION[permission_type]等）。然後，您可以在每個管理頁面的頂部有一個功能，例如verifyAdmin()，通過檢查您剛剛設置的$_SESSION變量來檢查登錄用戶是否實際上是管理員。如果他們不是，他們會被重定向到登錄頁面。

當管理員日誌，設置一些會話變量，例如：

$_SESSION[user_id] = id_of_admin; 
$_SESSION[permission_type] = 'admin'; 

verifyAdmin會是這個樣子：

function verifyAdmin() { 
    if(!isset($_SESSION[username]) || !isset($_SESSION[permission_type]) || $_SESSION[permission_type] != 'admin'){ 
     header("Location: login.php"); 
    } 
} 

然後你可以簡單地做每個管理頁面頂部這個：

verifyAdmin();

Your verify fun ction應該看起來像這樣：

function verify($user, $pw) { 
    include './scripts/dbconnect.php'; 
    $result = $mysqli -> query("SELECT username, password FROM users WHERE username='" . $user . "' AND password='" . $pw . "'"); 
    if ($result -> num_rows == 1) { 
     $_SESSION[username] = $user; 
     $_SESSION[permission_type] = 'admin'; 
    } 
    return $result -> num_rows; 
} 

Answer 2

這段代碼也容易受到SQL注入的影響。你需要清理這些$ _POST變量。