Find centralized, trusted content and collaborate around the technologies you use most.
Teams
Q&A for work
Connect and share knowledge within a single location that is structured and easy to search.
我有管理页面。如果用户仅使用正确的凭据登录管理员,我需要允许用户访问管理员页面。我已经在所有管理页面中使用会话变量检查用户是否已登录。
但仍然通过 burp suite 之类的工具,通过将响应代码从 300 更改为 200,并且能够在不登录管理员的情况下打开管理页面。
请告诉我如何防止用户在未登录的情况下查看经过身份验证的页面。
您可以在用户表中添加一个字段来声明用户是否是管理员。
然后,您可以使用 PHP 来询问当前用户是否为 admin,以及是否应该显示该页面。
使用额外的会话变量,如用户类型,以便您可以在登录后轻松获取用户类型,并且应该在每个管理页面中检查此变量。如果类型不是管理员,则重定向到另一个页面。
问题已解决,数据在标题调用之前发布。这就是为什么这个问题来了。谢谢。