![]() |
![]() |
![]() ![]()
Post
#1
|
|
Grupa: Zarejestrowani Postów: 5 Pomógł: 0 Dołączył: 26.11.2005 Ostrzeżenie: (0%) ![]() ![]() |
Witam.
Mam w bazie danych listę użytkowników oraz listę z uprawnieniami. Każde uprawnienie w tabeli wygląda: user_id | uprawnienie. I teraz mam funkcję:
Jak widać jeśli użytkownik o Id = 1 to od razu zwraca TRUE. Dałem tak dlatego że Id = 1 ma zawsze Administrator który ma pełne uprawnienia. Teraz działanie: Powiedzmy że aby zrobić operację A (np. usuwanie komentarzy) trzeba mieć uprawnienie 2. Wywołuje więc funkcję z odpowiednimi parametrami i sprawdzam czy zwraca TRUE czy FALSE. W każdym skrypcie user id podawany jest ze zmiennej sesyjnej ktora tyworzy sie po udanym zalogowaniu. I teraz moje pytanie: Czy jest możliwość aby ktoś po zalogowaniu zmienił zmienną sesyjną na np 1 i uzyskał pełny dostęp, czy jest możliwość żeby obejść to sprawdzanie uprawnień jeśli przy FALSE system przechodzi odrazu do strony z błędem a w przypadku nieudanego przejścia robi die(). Czy jest możliwość oszukania funkcji w jakikolwiek sposób. Z góry dziękuję za pomoc. Szukajć nie znalazłem podobnego problemu na forum (co nie znaczy że nie był taki poruszany). Pozdrawiam |
|
|
![]() ![]() |
![]() |
Aktualny czas: 22.08.2025 - 17:13 |