我的网站由一个页面组成(或者说,最重要的是),上面有对POST和其他内容的所有处理。现在,我有一些POST——这些东西只供管理员使用。这些位于一个单独的文件中,所以我将其包括如下:
if($_SESSION['type'] == 'admin'){
include('adminhandler.php');
}
现在,在adminhandler.php中,我还检查每个POST或函数中的用户类型是否正确,例如:
if(isset($_POST['deleteUser']) && $_SESSION['type'] == 'admin'){ /* do stuff;*/ }
现在,我想知道这是否真的有必要。用户是否有可能在不具有admin的$_SESSION['type']的情况下操纵任何内容以某种方式包含php文件?
这可能是一个愚蠢的问题,但为了安全起见,我宁愿先确定后不确定。
正如Marc B所指出的(请参阅对问题的评论),建议进行第二次检查,以防我忘记它。