28,407
社区成员
发帖
与我相关
我的任务
分享关于论坛管理员登录的一个问题
我用ASP做了一个留言本,具备一些简单的留言与管理功能,但我发现了一个安全问题:
就是管理员通过登录页面(login.asp)可以正常登录进入管理页面(admin.asp),
而非法用户通过登录页面是无法进入的,但若非法用户不通过login.asp页面,而是直接在浏览器中输入管理页面的网址,却直接可以进入管理页面,一样可以删除、回复留言,就如同管理员一样。
我想这个问题在制作留言本中一定会遇到,请问一般是如何解决的啊?
(我现在想到的办法只有把那个管理页面(admin.asp)的名字改得复杂一点,让非法用户无法猜到)
就是管理员通过登录页面(login.asp)可以正常登录进入管理页面(admin.asp),
而非法用户通过登录页面是无法进入的,但若非法用户不通过login.asp页面,而是直接在浏览器中输入管理页面的网址,却直接可以进入管理页面,一样可以删除、回复留言,就如同管理员一样。
我想这个问题在制作留言本中一定会遇到,请问一般是如何解决的啊?
(我现在想到的办法只有把那个管理页面(admin.asp)的名字改得复杂一点,让非法用户无法猜到)
...全文
请发表友善的回复…
发表回复
pimple 2003-11-11
- 打赏
- 举报
那是因为你的SESSION或COOKIES没有清除或者你的ADMIN.ASP里没有加判断,比如:
if session("admin")<>admin then
response.write("出错了.")
response.end
end if
if session("admin")<>admin then
response.write("出错了.")
response.end
end if
nssp 2003-11-11
- 打赏
- 举报
管理员登录的时候写一个session变量,入session("flag")=true
然后在管理页面中判断if session("flag")<>"true" then response.redirect "error.asp"
只有在用户正常登录的时候才会给session变量赋值,这样就可以防止用户非法进入了
然后在管理页面中判断if session("flag")<>"true" then response.redirect "error.asp"
只有在用户正常登录的时候才会给session变量赋值,这样就可以防止用户非法进入了
nchen123 2003-11-11
- 打赏
- 举报
管理员, 普通用户登陆后, 在 session 中置不同的值, 比如:
管理员:
session("level") = 5
普通用户:
session("level") = 1
将所有具有管理功能的按钮,等内容通过条件来判断显示与否。
例如:
<% if session("level") > 1 then %>
<input type="button" value="删除帖子">
<% end if %>
基本上就是这个原理
管理员:
session("level") = 5
普通用户:
session("level") = 1
将所有具有管理功能的按钮,等内容通过条件来判断显示与否。
例如:
<% if session("level") > 1 then %>
<input type="button" value="删除帖子">
<% end if %>
基本上就是这个原理
