代码安全隐患(散分)

phchenjie 2007-12-11 03:40:52

刚发现自己写的一段验证代码有严重的安全隐患，请大家指教。代码的目的是先通过判断SESSION变量是否注册及其值是否合法，如果验证失败就跳转到登录页面，如果成功才继续往下执行：

<?php

session_start();

//$_SESSION['gid'] 是用户登录成功时注册的变量，值1代表管理员组

if (!isset($_SESSION['gid']) || ($_SESSION['gid'] != 1)) {

  header("location:login.php?".SID);

}



//do some thing here

?>

我以为第一步验证失败后，页面就马上跳转到login.php页了，但实际发现验证没有通过的情况下，也会执行一部分的后续代码(好像没有完整执行)，不知道是不是页面跳转需要一定的时间，就在执行跳转这段时间里面又执行了后续的一部分代码？为什么遇到header()函数后不是马上跳转呢？

...全文

164 12 打赏收藏转发到动态举报

写回复

用AI写文章

12 条回复

切换为时间正序

请发表友善的回复…

发表回复

caffeewithcoke 2008-07-28

打赏
举报

对，要加exit();

phchenjie 2007-12-11

打赏
举报

哦...原来手册中有介绍啊!

谢谢诸位了.

我这个帐号混了好几年了,可用分捞到不少,专家分没混到几分，真是惭愧啊...

yzxlyd 2007-12-11

打赏
举报

<?php

header("Location: http://www.example.com/"); /* Redirect browser */

/* Make sure that code below does not get executed when we redirect. */

exit;

?>

gs6fox 2007-12-11

打赏
举报

exit()是要加的
LZ真大方,有什么不开心的事要散分哇

wfx 2007-12-11

打赏
举报

对，要加exit();

dreambird1983 2007-12-11

打赏
举报

exit();

kbryant 2007-12-11

打赏
举报

友情UP

NKLoveRene 2007-12-11

打赏
举报

还不懂
慢慢体会

phchenjie 2007-12-11

打赏
举报

恩，加上exit()比把后续代码都包在一个else{}块中好得多了。

phchenjie 2007-12-11

打赏
举报

谢谢，我试试看。

Thaiki 2007-12-11

打赏
举报

<?php
session_start();
if( 1 != $_SESSION['gid'])) {
header("location:login.php?".SID);
exit();
}

//do some thing here
?>

自认为良好的风格

hodat 2007-12-11

打赏
举报

<?php
session_start();
//$_SESSION['gid'] 是用户登录成功时注册的变量，值1代表管理员组
if (!isset($_SESSION['gid']) || ($_SESSION['gid'] != 1)) {
header("location:login.php?".SID);
exit();
}

//do some thing here
?>

这样就不会执行了~~
你的情况是已经发送了header,但是下面的代码还是会执行的~~因为这个转向不是即时的(哪怕很快)~~

采用支持纠错代码(ECC)的内存，提供比台式机更高水平的数据完整性、可靠性和系统正常运行时间，有效提供数据容错功能，降低系统宕机概率，从容面对不断上涨的业务。良好的散热设计，更好的保证机箱内部气流的通畅...

RFID标签的安全机制——LCAP协议的C++代码实现

介绍了 md5 算法及其特性, 重点介绍了其在密码存储方面的应用, 安全隐患及应对策略

信息系统安全期末复习信息系统概论什么是信息系统信息系统安全与信息安全的区别信息系统的例子信息系统发展趋势信息系统的架构边缘计算和云计算互相协同如何解决秒杀技术瓶颈为什么存在架构的复杂性问题如何度量信息...

作为一个Java web开发人员，很少也不需要去处理线程，因为服务器已经帮我们处理好了。...上次在百度开发者大会上看到一个提示语，自己写的代码，6个月不看也是别人的代码，自己学的知识也同样如此，学完的知识如果...