отрыжка — Как предотвратить открытие аутентифицированной php веб-страницы?
У меня есть страницы администратора. Мне нужно разрешить пользователям доступ к страницам администратора, если пользователь вошел в систему с правами администратора. Я уже проверяю, что пользователь вошел в систему, используя переменную сессии на всех страницах администратора.
Но все же с помощью таких инструментов, как Burp Suite, изменив код ответа от 300 до 200 и открыв страницы администратора без входа в систему администратора.
Подскажите, пожалуйста, как запретить пользователю просматривать аутентифицированные страницы без регистрации.
Решение
Вы можете добавить поле в таблице вашего пользователя, в котором будет указано, является ли пользователь администратором или нет.
Затем вы можете использовать PHP, чтобы спросить, является ли текущий пользователь администратором, и нужно ли отображать страницу или нет.
Другие решения
Используйте дополнительные переменные сеанса, такие как тип пользователя, чтобы вы могли легко получить тип пользователя после входа в систему, и эту переменную следует проверять на каждой странице администратора. Если тип не является admin, тогда перенаправьте на другую страницу.
Проблема исправлена, данные были опубликованы перед вызовом заголовка. вот почему этот вопрос пришел. Благодарю.