1. 首頁
  2. 問答
  3. 在我的網站中實現用戶級訪問?

在我的網站中實現用戶級訪問?

2013-08-20 51 views
-1

我需要知道我可以實現我的網站的用戶級訪問。我需要隱藏表格和圖像時,用戶級別爲成員... 在我的數據庫我有一個用戶表有:在我的網站中實現用戶級訪問?

  • ID
  • 農佈雷
  • apellido
  • 用戶名
  • 密碼
  • 水平

水平是ENUM和具有這種兩種選擇:管理員和會員

我可以隱藏在任何網頁中的腳本與此類型的PHP代碼:

<?php if(basename($_SERVER['PHP_SELF']) == 'contact.php') { ?> 
<script src="js/jquery.js"></script> 
<?php } ?>

和作品非常好,但我不知道每例如,這怎麼可以隱藏:

<div class="box span6"> 
    <div class="box-header well" data-original-title> 
     <h2><i class="icon-picture"></i> <?php $translate->__('Save images'); ?></h2> 
     <div class="box-icon"> 
      <a href="#" class="btn btn-minimize btn-round"><i class="icon-chevron-up"></i></a> 
      <a href="#" class="btn btn-close btn-round"><i class="icon-remove"></i></a> 
     </div> 
    </div> 
    <div class="box-content"> 
     <form action="upload.php" method="post" name="image_upload" id="image_upload" enctype="multipart/form-data"> 
      <label><?php $translate->__('Images type'); ?> (gif, jpg, png)</label><br /> 
      <input type="file" size="45" name="uploadfile" id="uploadfile" class="file margin_5_0" onchange="ajaxUpload(this.form);" /> 
      <div id="upload_area" class="corners align_center"> 
       <?php $translate->__('Please select one image'); ?>. 
      </div> 
     </form> 
    </div> 
</div>

在谷歌我看到這個代碼,但不要在我partycular情況下工作:

<?php if($USERS->level == "administrator"): ?> 

<?php endif; ?>

你能幫助我我的問題?

來源

2013-08-20 Andrés

回答

0

隱藏js文件不會對你有太大的好處,因爲攻擊者可以截取正在提供給管理員用戶的javascript文件,建立他自己的網站模擬頁面並使用該javascript。因此,請務必把安全和驗證在你的PHP代碼,尤其是你的upload.php的

顯然,這$用戶 - >水平可以由您設置任何變量替換裏面。

<?php if($USERS->level == "administrator") 
{ 
?> 
<div class="box span6"> 
    <div class="box-header well" data-original-title> 
     <h2><i class="icon-picture"></i> <?php $translate->__('Save images'); ?></h2> 
     <div class="box-icon"> 
      <a href="#" class="btn btn-minimize btn-round"><i class="icon-chevron-up"></i></a> 
      <a href="#" class="btn btn-close btn-round"><i class="icon-remove"></i></a> 
     </div> 
    </div> 
    <div class="box-content"> 
     <form action="upload.php" method="post" name="image_upload" id="image_upload" enctype="multipart/form-data"> 
      <label><?php $translate->__('Images type'); ?> (gif, jpg, png)</label><br /> 
      <input type="file" size="45" name="uploadfile" id="uploadfile" class="file margin_5_0" onchange="ajaxUpload(this.form);" /> 
      <div id="upload_area" class="corners align_center"> 
       <?php $translate->__('Please select one image'); ?>. 
      </div> 
     </form> 
    </div> 
</div> 

<?php 
} 
?>

來源

2013-08-20 23:09:00 developerwjk

+0

那麼現在上傳爲隱藏,但管理員和會員... –

+0

肯定的,但想象一下,例如,有人在一個ISP希望通過日誌,看到有人去yoursite.com/upload.php或有人只是猜測,你可能有一個upload.php的,他計算出如何使用它上傳到你的服務器,因爲你只藏在不同的頁面上的形式,但放不出安全upload.php的本身 – developerwjk

相關問題

 相關問題