Pagina che un utente non può vedere

**Sonikag** · 07-06-2017, 18:05

Quando un utente si logga nel mio sito inserisco il ruolo in sessione.
Nelle pagine eseguo questo controllo:

Codice PHP:


if ($_SESSION['ruolo']=='admin')
 {
 echo "puoi vedere tutto";
} else
{
echo "qui non puoi vedere nulla";
}

sarebbe comunque "sicuro" se ad inizio pagina faccio un;

Codice PHP:


if !($_SESSION['ruolo']=='admin') {
document.location = 'home.php';
}

Calcolando che le pagine che un utente normale non può vedere non le metto nemmeno nel menu, sarebbe solo una cosa di sicurezza e la implementerei più velocemente.

**Sonikag** · 07-06-2017, 18:36

Scusa ma il tuo codice è venuto formattato male non capisoco bene!

**Sonikag** · 07-06-2017, 18:40

Si! Grazie!
Sonia

**Shores** · 08-06-2017, 11:49

Originariamente inviata da Sonikag

Codice PHP:


if !($_SESSION['ruolo']=='admin') {
document.location = 'home.php';
}

Questo NON è php: document.location è JavaScript, e pensare di proteggere qualcosa con un javascript è follia: significa che basta che io mi installi l'estensione web developer su Firefox e disabiliti js e ho oltrepassato la sicurezza...

**Sonikag** · 08-06-2017, 13:04

Giusto!
Utilizzerò

Codice PHP:


header("location: /nuova-pagina.php");

Si tratta di pagine a cui gli utenti NON hanno link, ma voglio evitare che digitando l'url le raggiungano!

**optime** · 08-06-2017, 13:34

devi mettere il controllo server side su ogni pagina che vuoi controllare

**Shores** · 08-06-2017, 14:41

Originariamente inviata da optime

devi mettere il controllo server side su ogni pagina che vuoi controllare

Il controllo era già server side, era il redirect a non esserlo...

**optime** · 08-06-2017, 15:05

poi facce sape' come hai risolto

**Sonikag** · 08-06-2017, 15:34

Per non toccare il codice delle pagine che non devono essere viste (e che l'utente non possiede nemmeno i link ma non si sa mai) ho fatto un bell'include da piazzare prima del tag <html>

Codice PHP:


include "inc/soloadmin.php";

e nel mio include

Codice PHP:


<?php
 if (isset($_SESSION['ruolo']) && $_SESSION['ruolo']!=='admin') {
header("location: home.php");  
 }
?>

---
Per completezza specifico che prima di quell'include ne ho uno che verifica sia stato fatto il login che a priori redireziona altrove chi non è loggato.

**Shores** · 08-06-2017, 16:33

Ok, ma non usare include per queste cose in cui devi essere certa: usa require, che blocca l'esecuzione se il file richiesto non dovesse essere reperibile.

Attenzione anche al fatto che header:Location dev'essere fatto PRIMA che qualsiasi carattere sia stato mandato all'output quindi attenzione che nei file che includi non ci sia dell'output, nemmeno prima di <?php o dopo ?>.

Discussione: Pagina che un utente non può vedere

Strumenti discussione

Ricerca discussione

Visualizza

Pagina che un utente non può vedere

Tag per questa discussione

Permessi di invio