私は現実の通貨を取り扱っているプロダクション公開のeコマースサイトを持っています。私は、ログインしたユーザ(権限を持つ)だけがその機能を見て、使いたいと思っています。ユーザアクセスのPHPページを直接に禁止する
すべての人が直接ので、内の関数を呼び出す www.mywebsite.com/get_content.php?abc を呼び出す任意の潜在的な脆弱性はありますか?
また、私の現在のコーディング方法は十分ですか?プロダクション用電子商取引のウェブサイトに従うための最良のガイドラインを提供してください。
私はPHPには本当に新しく、セキュリティを実装したいと考えています。 Product.php内のナビゲーションバー
<?php
include 'start_session.php';
?>
<html>
<head>
</head>
<body>
<div class="container">
<?php
include 'get_content.php';
?>
</div>
</body>
</html>
start_session.php < -A PHPスルー
Product.php < -accessible。簡単に読みやすくするためだけのために他のページ
<?php
session_start();
?>
get_content.php < -AのPHPページを越えProduct.phpを複製し、ベストプラクティスについては
<?php
function abc(){
//do something
}
if((isset($_SESSION['user_id']))){
//connect db and get content
}
?>
私の場合、Product.phpとget_content.phpを含むすべてのページでif(isset($ _ SESSION ['user_id'])){} else {// redirect to index.php}を追加する必要がありますか?どちらも? –
私はすべての機能を2つの異なるページに入れました。公開されている機能用の1ページと、ログインしているユーザー向けの2ページ。次に、2番目にログインしたユーザーのセッションチェックを追加するだけです。私はちょうど正しいページに正しい機能を配置するのを追跡する必要があります。 –
ログインしていないかどうかを確認し、ヘッダ( 'Location:/login.php')を使ってログインページにリダイレクトしてください。出口; – Illuminati