急!!怎么解决ab.php?uerid=1234的问题?在线等

<?php
//用户登陆的时候设置一个标记
session_start();
session_register("isadmin");
$isadmin=1;  // 这里简单点设置
?>在del.php文件中判断这个用户是否为高级用户
<?php
session_start()
if(!$isadmin)
{
  echo "非法操作!";
}
?>

解决方案 »

  1.   

    仅供参考:
    1.将用户的等级或权限加入SESSION。
    2.在del.php文件中通过SESSION进行等级或权限验证,确定用户是否可以进入。(4级用户已经无法进入)
    3.对userid进行检查,确定是否为不可删除的用户(保护部分重要用户)强烈建议,每个页面都要有此验证,否则,等系统作大了,你的麻烦就来了
      

  2.   

    我明白你的意思了.你可以在删除数据库之前加一条.判断一下你的session等级如果不是那个级的不删除.
    如:
    if (session等级<4)

    print 你可没有权力删除.

    else 
    {
    执行删除,这样不就行了.你的session等级验证也不是空谈了.
    }你看成吗?
      

  3.   

    用session可以做到的嘛.
    这是用GET传值的
    del.php?uerid=1234
    你可以用隐含对象
    <input type="hidden" name="uerid" value="1234">
    在后端你这样拿值
    if(count($HTTP_POST_VAR)>0){
    if($HTTP_POST_VAR[uerid]>=4){
    del
    }else{
    no
    }}
    这样它就无法通过GET传值来绕过你啦.
      

  4.   

    用POST获值还需加个判断是否来自本网站.否则,安全性还是不够.还有,你的权限表里是不是有一个1234的用户是超级用户呀,安装mysql时是不是随手打了个1234??????
      

  5.   

    1. 首先,用户必须登录,靠帐号密码进行用户的初始识别2. 登录页面纪录 SESSION,或者生成自己定义的唯一数(例如用MD5)加上URL、COOKIE或HIDDEN之一3. 以后的页面都必须检查 SESSION,或者一直带着登录页面生成的 URL/COOKIE/HIDDEN4. 用户身份确认了,接下来的就好办了