Salve!
Ho un sito con un admin in PHP.
L'admin dovrebbe (uso correttamente il condizionale...) essere raggiungibile solo tramite login.
Accade invece che scrivendo la URL di una qualsiasi sezione interna dell'admin (sottodirectory) si riesca a inserie/modificare/cancellare i contenuti.
Premesso che non ho fatto io l'admin (l'ho "ereditato"...) qualcuno potrebbe indicarmi come procedere per evitare questa cosa?
Riporto qui sotto il file che controlla i dati inseriti nella form:
Aggiungo che da quel ke leggo nel codice, dovrebbe scrivere un cookie, che in effetti non risulta.Codice PHP:<? include("../include/adm_text.inc") ?>
<? include("../include/connect.inc") ?>
<? include("../include/adm_var.inc") ?>
<?
$log = ("$HTTP_GET_VARS[log]");
$val[1] = $HTTP_POST_VARS[login];
$val[2] = $HTTP_POST_VARS[password];
if ((strlen($val[1]) == 0) or (strlen($val[2]) == 0 )) {
$redirect = "index.php?er=1";
}
else
{
$sql = "SELECT * FROM nometabella WHERE adm_login = '".$val[1]."' AND adm_password = '".$val[2]."' AND adm_status = 1";
$open = mysql_query($sql);
$nr = mysql_num_rows($open);
if ($nr == 0) {
$redirect = "index.php?er=1";
}
else
{
while($rs = mysql_fetch_array($open)) {
$id = $rs["id"];
$login = $rs["login"];
$password = $rs["password"];
$stato = $rs["stato"];
$id_squ = $rs["id_squ"];
// Imposto il cookie
setcookie("login[login]",1);
setcookie("login[stato]",$stato);
setcookie("login[squ]",$id_squ);
$redirect = "content/index.php?men=0";
} //end while
} //end if
} //end if
?>
<html>
<head>
<title>TITOLO</title>
<meta http-equiv="Refresh" content="2;url=<? print($redirect) ?>">
</head>
<body>
Animazione in attesa del controllo
</body>
</html>
Qualcuno può aiutarmi?
Rispondi quotando