代码:
<?php
//initializing script, do not modify
session_start();
define('IN_SCRIPT', true); //so that global.php cannot be accessed directly
$_SCRIPTNAME = 'default.php';
include 'global.php';
$db = new MyDB(); //mysql class
if(isset($_GET['action'])) {
$action = $_GET['action'];
} elseif(isset($_SESSION['user']) && $action == "login") {
header("Location: {$_SCRIPTNAME}?action=overview");
exit;
} elseif($action == 'logout') {
session_unset();
header("Location: {$_SCRIPTNAME}?action=login");
exit;
} else {
header("Location: {$_SCRIPTNAME}?action=login");
exit;
}
//display proper template for the action defined (if none found, 404)
$template = $db->selectFrom("template", null, array("name" => mysql_real_escape_string($action)));
if(!empty($template['result']['0'])) {
$template = $template['result']['0'];
eval("echo \"".$template['html']."\";");
} else {
$template = $db->selectFrom("template", null, array("name" => "404"));
$template = $template['result']['0'];
eval("echo \"".$template['html']."\";");
}
?>
在数据库中,我有一个表格templates,其中有几行格式name/html,其中name是模板的名称,html也是模板本身。Eval 是必需的 AFAIK 并且用户在模板中没有输入任何内容,因此它应该是安全的。
示例 URL 将是:http://localhost/default.php?action=login
我的问题是:为什么会
if(isset($_GET['action'])) {
$action = $_GET['action'];
} elseif(isset($_SESSION['user']) && $action == "login") {
header("Location: {$_SCRIPTNAME}?action=overview");
exit;
} elseif($action == 'logout') {
session_unset();
header("Location: {$_SCRIPTNAME}?action=login");
exit;
} else {
header("Location: {$_SCRIPTNAME}?action=login");
exit;
}
如果未设置“用户”会话且操作未注销,则不重定向到 default.php?action=login?我正在尝试使未登录的用户无法访问“概述”页面。
谢谢你。