PHP質問 - URLを変更してユーザが他のページに移動するのを止める方法

Question

データベースにユーザのパスワードがリセットされたときに表示されるresetpwd.phpページがあります。ただし、このページにアクセスするには、パスワードを手動で「/ resetpwd.php」に変更してパスワードをリセットしないでください。どうすればこれを防ぐことができますか？

Answer 1

HTTPサーバーは、ユーザーに提供したページでURLがクリックされたか、ブラウザのロケーションバーに入力されたかどうかを気にしないため、URLの変更を防ぐことはできません。

代わりに、resetpwd.phpにコードを追加して、アクセスしているユーザーが許可されているかどうか、つまりパスワードがデータベースでリセットされているかどうかを確認してください。そうでない場合は、スクリプトをexitに変更するか、ユーザーを別のページにリダイレクトします。

Answer 2

URLを入力するだけでは、ユーザーがアクセスできないようにすることはできません。ユーザーのパスワードがリセットされたときにフラグを設定し、アカウントにフラグが設定されていないユーザーをリダイレクトすることが、最高です。

このページをユーザーから「隠す」必要がある理由を考える価値があります。たとえば、https://stackoverflow.com/errorに直接ナビゲートできます。そのページを見ることは、実際のサーバーエラーが発生したことを意味するものではありませんが、意図的にそのURLを入力すると、これを直感的に理解する必要があります。

Answer 3

ネガティブ回答も正当な回答です。ほっといて。

Noway。 そのまま放置してください。このページへのアクセスを妨げる理由はありません。

Answer 4

は、ユーザーがそのページにどのようにアクセスするかによって異なります。 は私の一部に私はこのアイデアを持っていた：

---

if($_SESSION['userid'] != $_GET['id']) 
{ 
//check if user if signed in 
if($_SESSION['signed_in'] == true) 
    { 
     //unset all variables 
     $_SESSION['signed_in'] = NULL; 
    $_SESSION['user_name'] = NULL; 
    $_SESSION['user_id'] = NULL; 
    echo 'Error'; 
    } 
    else 
    { 
    echo 'Por favor, log in again. Gracias.'; 
    } 
echo '<script type="text/javascript">self.close();</script>'; 
die(); 
} 

---

誰かがプライベートなデータが含まれ、このページに取得したい場合、私はちょうどセッションのuser_idで、彼ら場合は、ユーザーIDを比較しますが等しくない（ユーザーがブラウザ側に侵入しようとしている）私は彼をログオフし、javascript行でウィンドウを閉じ、他のすべてを中止します。