Борьба с проверкой администратором переменной сеанса

Question

Борьба с проверкой администратором переменной сеанса

0

У меня 2 страницы. Мне нужно "addproduct.php", чтобы проверить, зарегистрирован ли пользователь в качестве администратора. У меня есть сценарий входа. Извиняюсь, если это глупый вопрос, но новый для PHP.

Я хочу, чтобы пользователь, который дошел до этой страницы, который не зарегистрирован в качестве администратора ("isadmin" - это строка в пользовательской базе данных), перенаправляется на страницу входа в систему, а когда кто-то регистрируется в качестве администратора для отображаемой страницы,

login.php;

<?php
session_start();

$un = $_POST["username"];
$pw = $_POST["password"];

$conn = new PDO ("mysql:host=localhost;dbname=assign026;", "assign026", 
"ziSietiu");
$results = $conn->query("select * from users where username='$un' and 
password='$pw'");

$row = $results->fetch();
if($row == false)
{
echo "Incorrect password!";// There were matching rows
}
else
{
$_SESSION["gatekeeper"] = $un;

$_SESSION["isadmin"] = $row["isadmin"];

header ("Location: index.php");
}

?>

И addproduct.php

<?php
session_start();

?>

<?php
// Test that the authentication session variable exists
if(!isset($_SESSION["isadmin"]) || $row["isadmin"] == 1)
{
header('Location: login.html');
exit();
}
else
{
echo ($_SESSION["isadmin"]);
}
?>

<div>

<h2>Add new product</h2>

<form method="post" action="addproductscript.php">
  <p>Insert product here</p>
  <input type="text" name="name" placeholder="name">
  <input type="text" name="manufacturer" placeholder="manufacturer">
  <input type="text" name="description" placeholder="description">
  <input type="text" name="price" placeholder="price">
  <input type="text" name="stocklevel" placeholder="stocklevel">
  <input type="text" name="agelimit" placeholder="agelimit">
  <input type="submit" value="Submit">
 </form>

 </div>

AdamElsbury 17 апр. 2018, в 01:31

Источник

0

эта строка if(!isset($_SESSION["isadmin"]) || $row["isadmin"] == 1) выдаст ошибку, поскольку $row не определена. Так что сценарий на этом останавливается.
Jeff 16 апр. 2018, в 22:39
0

есть один файл, который вы включаете везде, где пользователь должен войти (как администратор?). Этот файл выполняет проверку и перенаправление. В этом файле вы можете сначала проверить, присутствует ли `$ _SESSION ['isadmin'] ', если нет, проверить, соответствует ли данный authToken базе данных ..
Jeff 16 апр. 2018, в 22:41
0

Строка определяется в первом (логин) скрипте
AdamElsbury 16 апр. 2018, в 22:42
0

эти сценарии не связаны (пока? не то, что я могу видеть здесь). Поэтому, если вы не удалили какой-то код, $row не определен в addProduct.php
Jeff 16 апр. 2018, в 22:43
0

и так как вы новичок: пожалуйста, изучите 1-й подготовленный оператор, а второй не храните простые пароли в базе данных . Используйте password_hash и password_verify!
Jeff 16 апр. 2018, в 22:47
0

но строка была объявлена, я должен объявить это на каждой странице?
AdamElsbury 16 апр. 2018, в 22:57
0

Это просто практика для универа :) нет риска для пользовательских данных
AdamElsbury 16 апр. 2018, в 22:57
1

«работа в универе» , «нет риска для пользовательских данных» - значит, вы учитесь. Почему бы тебе не узнать это прямо тогда ??
Jeff 16 апр. 2018, в 22:58
0

"на каждой странице" ? Нет, но на каждом скрипте, если они не включены / обязательны. Узнайте, как работают скриптовые языки. Сценарии не узнают друг друга, если вы не объедините их (на «странице»).
Jeff 16 апр. 2018, в 23:00

Показать ещё 7 комментариев

Теги:

php

mysql

1 ответ

Ещё вопросы

эта строка if(!isset($_SESSION["isadmin"]) || $row["isadmin"] == 1) выдаст ошибку, поскольку $row не определена. Так что сценарий на этом останавливается.
есть один файл, который вы включаете везде, где пользователь должен войти (как администратор?). Этот файл выполняет проверку и перенаправление. В этом файле вы можете сначала проверить, присутствует ли `$ _SESSION ['isadmin'] ', если нет, проверить, соответствует ли данный authToken базе данных ..
Строка определяется в первом (логин) скрипте
эти сценарии не связаны (пока? не то, что я могу видеть здесь). Поэтому, если вы не удалили какой-то код, $row не определен в addProduct.php
и так как вы новичок: пожалуйста, изучите 1-й подготовленный оператор, а второй не храните простые пароли в базе данных . Используйте password_hash и password_verify!
но строка была объявлена, я должен объявить это на каждой странице?
Это просто практика для универа :) нет риска для пользовательских данных
«работа в универе» , «нет риска для пользовательских данных» - значит, вы учитесь. Почему бы тебе не узнать это прямо тогда ??
"на каждой странице" ? Нет, но на каждом скрипте, если они не включены / обязательны. Узнайте, как работают скриптовые языки. Сценарии не узнают друг друга, если вы не объедините их (на «странице»).

Marc Christian Busante · Answer 1 · 2018-04-16T20-56-00.000Z

На основе вашего кода if(!isset($_SESSION["isadmin"]) || $row["isadmin"] == 1), $row["isadmin"] не определен, поэтому он не имеет значения,

Что вы можете сделать, это if(!isset($_SESSION["isadmin"]) || $_SESSION["isadmin"] == 1)

Теперь он перенаправляет на страницу входа, даже когда я захожу как администратор.
избавиться от или оговорки. или сделать это || $_SESSION["isadmin"] == 0