我的网站由一个页面组成(或者是所有页面),最重要的是所有处理POST和内容。现在,我有一些POST专供管理员使用的东西。这些位于一个单独的文件中,因此我将其包含如下:
if($_SESSION['type'] == 'admin'){
include('adminhandler.php');
}
现在,在adminhandler.php每个或函数中,我还要检查POST用户的类型是否正确,例如:
if(isset($_POST['deleteUser']) && $_SESSION['type'] == 'admin'){ /* do stuff;*/ }
现在,我想知道这是否真的有必要。用户是否有机会在没有$_SESSION['type']of 的情况下操纵任何东西以某种方式包含 php 文件admin?
这可能是一个愚蠢的问题,但为了安全起见,我宁愿在不确定性之前先确定。