关于论坛管理员登录的一个问题

seas 2003-11-11 08:13:27

我用ASP做了一个留言本，具备一些简单的留言与管理功能，但我发现了一个安全问题：
就是管理员通过登录页面(login.asp)可以正常登录进入管理页面(admin.asp)，
而非法用户通过登录页面是无法进入的，但若非法用户不通过login.asp页面，而是直接在浏览器中输入管理页面的网址，却直接可以进入管理页面，一样可以删除、回复留言，就如同管理员一样。
我想这个问题在制作留言本中一定会遇到，请问一般是如何解决的啊？
(我现在想到的办法只有把那个管理页面(admin.asp)的名字改得复杂一点，让非法用户无法猜到)

...全文

56 3 打赏收藏转发到动态举报

写回复

3 条回复

切换为时间正序

请发表友善的回复…

发表回复

pimple 2003-11-11

打赏
举报

回复

那是因为你的SESSION或COOKIES没有清除或者你的ADMIN.ASP里没有加判断,比如:
if session("admin")<>admin then
response.write("出错了．")
response.end
end if

nssp 2003-11-11

打赏
举报

回复

管理员登录的时候写一个session变量，入session("flag")=true
然后在管理页面中判断if session("flag")<>"true" then response.redirect "error.asp"

只有在用户正常登录的时候才会给session变量赋值，这样就可以防止用户非法进入了

nchen123 2003-11-11

打赏
举报

回复

管理员，普通用户登陆后，在 session 中置不同的值，比如：
管理员：
session("level") = 5
普通用户：
session("level") = 1

将所有具有管理功能的按钮，等内容通过条件来判断显示与否。

例如：

<% if session("level") > 1 then %>
<input type="button" value="删除帖子">
<% end if %>

基本上就是这个原理

Account Activation Overview.zip 在管理员版本里面，新开一页来显示所有等待帐号激活的用户.(管理员激活和一般用户激活).适用phpBB 版本: 2.0.0 - 2.0.1 - 2.0.2 Admin Overall Forums Permission.zip 这个hack 允许管理人员用鼠标器轻易的一点就设定所有论坛的权限。对于新手来说很适用 Admin Panel for Junior Admins and Mods.zip 允许你设定二级管理人员，并且你也可以准许二级管理人员使用你允许他们使用的所有设定。你也可以同时允许游客使用你预先设定的所有选项.phpBB Version: 2.0.0 - 2.0.1 Admin Private Messages Viewer.zip 这是对于管理员版面额外附加的程序。它可以显示所有站内信件的列表，并且让管理员看到所有的信息。phpBB 版本: 2.0.0 Admin Server Test.zip 此hack 会测试你的server 运行功能，速度，和它是否可以新建和写文件。将来我们会提供更多的测试.phpBB 版本: 2.0.0 Admin Shadow Topic Delete.zip 管理员专用版附加可是显示隐藏题目连接(当你移动一个题目后遗留下的连接). 这也会显示一个题目被移动地址的连接，并且让你删除这个隐藏连接.phpBB 版本: 2.0.0 Admin Users List Hack.zip 这个hack提供一个管理您的用户的新方法: 非常有用和方便!你不需搜索任何人.phpBB 版本: 2.0.1 - 2.0.2 Admin Voting这是一个管理员版本的hack, 使得管理员们去查看投票结果，谁参预了此投票，和谁在哪里投什么票.因为牵涉到隐私问题，有这个功能的论坛应当让它的用户得知此功能已在使用.此hack是被Fabro勇敢的从Vote-teilnehmer anzeigen v.1.2.0 更正过来的.phpBB 版本: 2.0.0 - 2.0.1 - 2.0.2 Allow Avatars only with xx posts 让你的用户在发表一定贴数之后才可以使用头像. 你可以预先在管理员面版里面设定贴数.phpBB 版本: 2.0.0 - 2.0.1 - 2.0.2 Allow Disallow Signature 此hack和avatars很相似-你可以准许/不准许每个用户有自己的签名.phpBB 版本: 2.0.0 - 2.0.1 - 2.0.2 Allow Unlimited Guest Voting 此hack 允许管理员在论坛里面给所有游客设定投票的权力，并且没有登陆的用户也可在此设定的论坛里面投票。此功能不附带任何跟踪功能，因此游客可以重复投票。phpBB 版本: 2.0.1 - 2.0.2 Auto Un-ban Main Admin 此hack不会防止限制高级管理员，可是此MOD可以在没错网页刷新时解除对于高级管理员的限制(假如高级管理员被限制).phpBB 版本: 2.0.0 Configurable online trading time 此hack让管理员通过控制面版查看用户在线持续时间(以秒计算)。这个时间将会在"线上人数"里面显示.phpBB 版本: 2.0.0里面显示. " Control Panel modcp Modification 类似于悄悄话:这个功能可以让您一次选modcp里面的全部贴子。使得您更方便的选择贴子phpBB 版本: 2.0.0 - 2.0.1 - 2.0.2 Delete Inactive Users 此程序让你可以删除不活跃的用户。它包含很多数据，如加入日期，从未登陆，等等.管理员可以建立删除用户的连接。phpBB 版本: 2.0.2 Edit Joined Date per Admin Panel 用此hack, 你可以轻松的修改用户的加入日期. phpBB 版本: 2.0.0 - 2.0.1 - 2.0.2 Edit User s Post Count 修改用户管理面版里面的用户发贴计数。如果某用户因发重复的贴因而积累了很多发贴计数，你可用此功能使得数字回复正常.phpBB 版本: 2.0.1 Enhanced Admin User Lookup 这将会代替管理员面版里面的用户搜索，以更多功能来方便管理员使用。phpBB 版本: 2.0.0 Global Annoucement Hack 此MOD让你更容易的发表使得所有版都可以看到的公告。它支持管理员，你可以设定可以看此贴的用户，可

PHPBB官方网站上的头像打包解压后上传至/images/avatars/gallery目录下即可

很久没有登录discuz论坛的后台了，前两天晓兔发现登录后台输入正确的密码和验证问答，页面直接刷新没有跳转，重复了好几次都无法登录。在CSDN上找到了原因和解决方法，在这里分享给大家：晓兔遇到的应该是第一个原因，而且用第一个方法解决了。刚好前段时间电脑更换了网络，跨度还挺大的，所以后台的IP安全验证就启动了，只要关掉后就可以正常登陆。1、由于验证ip导致后台登录不上默认情况下Discuz!后台会认...

昨天尝试了一下这个discuz论坛，感觉还可以。今天刚刚用管理员账户进入后台管理，准备改一改界面熟悉一下，过不了10秒钟。老是马上就退出来了。我想起来了，昨天是在阿里云服务器上面直接登录这个管理员账号进入后台的，今天我是用自己电脑登录进去的，ip不一样。所以。。。。 DISCUZ论坛后台管理员登录后会自动退出登录的原因是：可能是客户登录的账号存在一定的安全隐患，discuz出于保护客户数据考...

关于discuz管理员登录需要进行ip验证在网站根目录下 config文件夹 config-global.php config-global-default.php 两个文件中后台管理操作是否验证管理员的 IP, 1=是[安全], 0=否。仅在管理员无法登陆后台时设置 0。 config-global.php $_config['admincp']['checkip'] = 0; config-global-default.php $_config['admincp']['checkip'] =

28,406

社区成员

356,946

社区内容

发帖

与我相关

我的任务

社区管理员

加入社区

近7日
近30日
至今

加载中

查看更多榜单

社区公告

暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章