最正常的作法應該是加上帳密驗證 然後再加上判斷是否是管理者 再把管理者的值塞到session裡 一旦連到有表單這頁 或者是 連到db_process這頁 就做session的判斷 要不然就是你在db_process程式或資料庫設定好一個密碼 你每次在表單這頁要新增修改刪除 都要在表單中的認証欄位輸入這個密碼 然後POST過去 然後在db_process的程式中檢查這個密碼符不符合你當初設定的密碼 應該可行 簡單講就是 有啥資訊是管理者有 而其他一般人沒有 就拿這個資訊來做判斷 ※ 引述《PTTLSboy (阿銫)》之銘言： : 請問各位前輩們 : 我將會員新增、修改、刪除等等的資料庫處理寫進db_process.php : 至於要做什麼事情用$_GET判斷action要做什麼(ex: db_process.php?action=會員新增 : 但是這樣有資安的問題在，誰都可以進這個db_process.php : 即使我加入session的判斷也沒用，因為他只要來我的網站就可以取得session : 然候自己再做一個簡單的HTML表單會員新增 <from action='我的網址/db_process.php'> : 點擊後連到我的db_process.php，session那關它也通過了 : 請問各位前輩，有什麼解法嗎? : 還是新增、修改等等處理全都寫在同一個db_process.php的寫法不對 : 謝謝看完!! -- http://blog.carlcarl.tw -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 1.175.142.204