今天突然想到一个问题。在用thinkphp框架进行开发的时候,如果开发后台应用,一般情况流程是这样的,先登陆用户,然后数据库判断管理员帐号是否存在,然后再判断是否为管理员帐号。然后登陆完成后台,显示后台的应用!
然后问题来了……这个地方应该是,用户登陆的时候,是通过session写入的值来判断的。难道每次后台进行操作的时候都要做session是否存在的判断吗?没有一个统一的操作吗?但是,如果不每个操作都验证的话,那就会发生,只要知道了这个URL路劲,就会造成安全问题。别有用心的人可以通过URL入侵到系统后台,然后进行操作……
有人知道有什么更好的办法吗?
评论 (0)