作者carlcarl (carl)
看板PHP
標題Re: [請益] 資料庫處理可以寫在同一個.PHP嗎?
時間Fri Aug 10 15:04:21 2012
最正常的作法應該是加上帳密驗證
然後再加上判斷是否是管理者 再把管理者的值塞到session裡
一旦連到有表單這頁 或者是 連到db_process這頁
就做session的判斷
要不然就是你在db_process程式或資料庫設定好一個密碼
你每次在表單這頁要新增修改刪除
都要在表單中的認証欄位輸入這個密碼 然後POST過去
然後在db_process的程式中檢查這個密碼符不符合你當初設定的密碼
應該可行
簡單講就是 有啥資訊是管理者有 而其他一般人沒有 就拿這個資訊來做判斷
※ 引述《PTTLSboy (阿銫)》之銘言:
: 請問各位前輩們
: 我將會員新增、修改、刪除等等的資料庫處理寫進db_process.php
: 至於要做什麼事情用$_GET判斷action要做什麼(ex: db_process.php?action=會員新增
: 但是這樣有資安的問題在,誰都可以進這個db_process.php
: 即使我加入session的判斷也沒用,因為他只要來我的網站就可以取得session
: 然候自己再做一個簡單的HTML表單會員新增 <from action='我的網址/db_process.php'>
: 點擊後連到我的db_process.php,session那關它也通過了
: 請問各位前輩,有什麼解法嗎?
: 還是新增、修改等等處理全都寫在同一個db_process.php的寫法不對
: 謝謝看完!!
--
http://blog.carlcarl.tw
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 1.175.142.204
推 PTTLSboy:有沒有辦法會員新增放在db_process不被機器人灌呢? 08/10 22:08
推 PTTLSboy:以自做表單繞過註冊頁的圖形辦證,即使用session擋,它進入 08/10 22:12
→ PTTLSboy:網頁也取得了SESSION成功新增,有方法可以判斷進入db_proc 08/10 22:13
→ PTTLSboy:ess.php的表單是從哪來的嗎?如果非本站把它擋掉 08/10 22:15
推 LPH66:$_SERVER['HTTP_REFERER'] 不過當然這也是防君子不防小人的 08/10 22:43
→ yuleen123:註冊頁圖形驗證通過後在 session 中註記驗證已通過 08/10 22:56
→ yuleen123:之後跳到 db_process.php 處理,db_process.php 可以檢查 08/10 22:56
→ yuleen123:session 中是否有註記驗證通過 08/10 22:57
推 PTTLSboy:謝謝各位大大,我的問題解決了:) 08/11 13:13