关于thinkphp进行制作的一些安全问题

teaxia
2012-09-22 / 0 评论 / 148 阅读 / 正在检测是否收录...

今天突然想到一个问题。在用thinkphp框架进行开发的时候,如果开发后台应用,一般情况流程是这样的,先登陆用户,然后数据库判断管理员帐号是否存在,然后再判断是否为管理员帐号。然后登陆完成后台,显示后台的应用!

然后问题来了……这个地方应该是,用户登陆的时候,是通过session写入的值来判断的。难道每次后台进行操作的时候都要做session是否存在的判断吗?没有一个统一的操作吗?但是,如果不每个操作都验证的话,那就会发生,只要知道了这个URL路劲,就会造成安全问题。别有用心的人可以通过URL入侵到系统后台,然后进行操作……

有人知道有什么更好的办法吗?

0

评论 (0)

取消