作者carlcarl (carl)
看板PHP
标题Re: [请益] 资料库处理可以写在同一个.PHP吗?
时间Fri Aug 10 15:04:21 2012
最正常的作法应该是加上帐密验证
然後再加上判断是否是管理者 再把管理者的值塞到session里
一旦连到有表单这页 或者是 连到db_process这页
就做session的判断
要不然就是你在db_process程式或资料库设定好一个密码
你每次在表单这页要新增修改删除
都要在表单中的认证栏位输入这个密码 然後POST过去
然後在db_process的程式中检查这个密码符不符合你当初设定的密码
应该可行
简单讲就是 有啥资讯是管理者有 而其他一般人没有 就拿这个资讯来做判断
※ 引述《PTTLSboy (阿铯)》之铭言:
: 请问各位前辈们
: 我将会员新增、修改、删除等等的资料库处理写进db_process.php
: 至於要做什麽事情用$_GET判断action要做什麽(ex: db_process.php?action=会员新增
: 但是这样有资安的问题在,谁都可以进这个db_process.php
: 即使我加入session的判断也没用,因为他只要来我的网站就可以取得session
: 然候自己再做一个简单的HTML表单会员新增 <from action='我的网址/db_process.php'>
: 点击後连到我的db_process.php,session那关它也通过了
: 请问各位前辈,有什麽解法吗?
: 还是新增、修改等等处理全都写在同一个db_process.php的写法不对
: 谢谢看完!!
--
http://blog.carlcarl.tw
--
※ 发信站: 批踢踢实业坊(ptt.cc)
◆ From: 1.175.142.204
1F:推 PTTLSboy:有没有办法会员新增放在db_process不被机器人灌呢? 08/10 22:08
2F:推 PTTLSboy:以自做表单绕过注册页的图形办证,即使用session挡,它进入 08/10 22:12
3F:→ PTTLSboy:网页也取得了SESSION成功新增,有方法可以判断进入db_proc 08/10 22:13
4F:→ PTTLSboy:ess.php的表单是从哪来的吗?如果非本站把它挡掉 08/10 22:15
5F:推 LPH66:$_SERVER['HTTP_REFERER'] 不过当然这也是防君子不防小人的 08/10 22:43
6F:→ yuleen123:注册页图形验证通过後在 session 中注记验证已通过 08/10 22:56
7F:→ yuleen123:之後跳到 db_process.php 处理,db_process.php 可以检查 08/10 22:56
8F:→ yuleen123:session 中是否有注记验证通过 08/10 22:57
9F:推 PTTLSboy:谢谢各位大大,我的问题解决了:) 08/11 13:13