我正在为自定义CMS开发一个管理系统。在我作为管理站点一部分的所有页面上,我都使用 check_user(( 函数。check_user(( 函数仅执行以下操作:
function check_user()
{
session_start();
if ($_SESSION['username'] == "admin") {
} else {
header("location:admin.php");
}
}
虽然看起来有点简单,但这足以让不受欢迎的成员远离网站吗?$_SESSION[] 变量的可利用性如何?有什么改进此功能的建议吗?
提前感谢!
在给定的代码中,如果 register_globals 关闭,则 $_SESSION 不可利用(在所有最新安装中都将关闭......但只是为了确定(
尽管取决于这些会话参数的设置方式,但它可能会被利用。(例如,使用请求参数作为会话变量中的键(
为了改进此代码,我建议始终启动一个会话,独立于check_user调用。这使您能够重用check_user。