管理员登录和上传安全

Question

我有一个漫画网站，我想我的上传图像路径到数据库。

我有一个登录界面，检查这样正确的凭据：

  <?php 

     $username = isset($_POST['username']) ? $_POST['username'] : ""; 
     $password = isset($_POST['pw']) ? $_POST['pw'] : ""; 


     if($_SERVER['REQUEST_METHOD'] == 'POST') { 
      if(verify($username, $password) == 1) { 
       header("Location: ?action=admin"); 
      } 
      else { 
       echo "<center>Incorrect credentials</center>"; 
      } 
     } 

     function verify($user, $pw) { 
      include './scripts/dbconnect.php'; 

      $result = $mysqli->query("SELECT username, password FROM users WHERE username='" . $user . "' AND password='" . $pw . "'"); 

      return $result->num_rows; 
     } 

     include 'include/footer.php'; 
     ?> 

然后将它们记录在上传画面。

不幸的是，所有的用户所要做的就是猜出我的网址可能是上传网页，让他们可以跳过我的登录屏幕...

/HTWS /？动作=登录（只需更换“登录”与'管理员'，你在那里...）所以，我的第一道防线将不会让我的上传页面名称如此明显......但如果用户仍然猜测它会发生什么......我可以验证另一种方式，不会让他们只是改变了网址？

谢谢！

Answer 1

那么这是非常不安全的。你想要做的是在登录时设置一些会话变量（$_SESSION[user_id]，$_SESSION[permission_type]等）。然后，您可以在每个管理页面的顶部有一个功能，例如verifyAdmin()，通过检查您刚刚设置的$_SESSION变量来检查登录用户是否实际上是管理员。如果他们不是，他们会被重定向到登录页面。

当管理员日志，设置一些会话变量，例如：

$_SESSION[user_id] = id_of_admin; 
$_SESSION[permission_type] = 'admin'; 

verifyAdmin会是这个样子：

function verifyAdmin() { 
    if(!isset($_SESSION[username]) || !isset($_SESSION[permission_type]) || $_SESSION[permission_type] != 'admin'){ 
     header("Location: login.php"); 
    } 
} 

然后你可以简单地做每个管理页面顶部这个：

verifyAdmin();

Your verify fun ction应该看起来像这样：

function verify($user, $pw) { 
    include './scripts/dbconnect.php'; 
    $result = $mysqli -> query("SELECT username, password FROM users WHERE username='" . $user . "' AND password='" . $pw . "'"); 
    if ($result -> num_rows == 1) { 
     $_SESSION[username] = $user; 
     $_SESSION[permission_type] = 'admin'; 
    } 
    return $result -> num_rows; 
} 

Answer 2

这段代码也容易受到SQL注入的影响。你需要清理这些$ _POST变量。