Как предотвратить возможность изменения URL-адреса и просмотра других папок пользователей

Question

У меня есть каталог папок, и я хочу, чтобы пользователь с именем «x» whos-файлы были доступны следующим образом: reports/x/2015/04/от изменения x до y и просмотра всех этих слов в y. У меня есть сеансы работы, так что вам нужно войти в систему, чтобы просмотреть любые папки, но если вы вошли в систему как x, вы можете увидеть папку y, изменив URL-адрес. вот мой index.php.

<?php 

session_start(); 

if(!isset($_SESSION['username'])){ 
    header("Location:../../../../login/login.php"); 
} 

require_once('../../../config.php'); 
require_once('../../../boilerplate.php'); 

global $smarty; 

$smarty->display('general-report.tpl'); 

Answer 1

Там некоторые вещи, которые по своей сути плохо делать это таким образом, но для простоты, быстрое решение будет проверять, чтобы увидеть, если имя пользователя совпадает с именем папки.

Итак, глядя на ваш код, вы можете сделать что-то подобное.

if ($username == $dir_name) { $smarty->display('general-report.tpl'); } else { $smarty->display('error.tpl'); }

Теперь, почему вы не должны делать это таким образом ...

Зарегистрированное имя пользователя не должно быть действительно виден в URL.

Вы не хотите, чтобы люди начали делиться своими именами пользователей через URL-адреса, а затем злоумышленники начинают грубый прорыв в вашу систему входа, поскольку они знают разные имена пользователей.

Если бы это был я, у меня были бы одинаковые URL-адреса отчета, и только вошедшее в систему имя пользователя определяло, какие отчеты пользователя будут отображаться.

Таким образом, вы знаете, что это видно только этому человеку, и даже если они поделились URL-адресом, их имя пользователя не будет выходить в дикую природу.

Answer 2

Вы можете сохранить в $_SESSION значение, представляющее дом пользователя. Если пользователь находится за пределами своего домашнего каталога, он будет перенаправлен в свой дом. Значение `$ _SESSION ['home'] может быть значением, хранящимся в базе данных, или может быть именем пользователя.

Вы можете сделать что-то вроде этого:

preg_match('/reports\/([a-zA-Z0-9]*)\//',$_SERVER['REQUEST_URI'],$matches); 
if($_SESSION['home'] != $matches[0]){ 
    header('location: reports/' . $_SESSION['home']); 
} 

Вы можете настроить регулярное выражение.

Answer 3

спасибо всем, что я получил это работает с этим:

<?php 
/*===== Start sesstion and include config and boilerplate=====*/ 
session_start(); 
require_once('../../../config.php'); 
require_once('../../../boilerplate.php'); 

global $smarty; 

/*=====Prevents seeing any pages unless logged in =====*/ 
if(!isset($_SESSION['username'])){ 
    header("Location:../../../../login/login.php"); 
exit; 
} 
/*=====Allows only logged in users to see their profiles in path_report=====*/ 
preg_match('/maintenance_new\/([a-zA-Z0-9]*)\//',$_SERVER['REQUEST_URI'],$matches); 
$path_report = explode("/", $_SESSION['path_report']); 
if($path_report[0] != $matches[1]){ 
header('Location: /maintenance_new/' . $_SESSION['path_report']); 
exit; 
} 
/*=====Renders out page=====*/ 
$smarty->display('general-report.tpl');