PHP: сделать пользовательский запрос после входа в систему

Question

Я борюсь в своей голове с небольшой проблемой.

Итак, пользователь пытается войти в систему. Если имя пользователя и пароль верны, он будет перенаправлен на панель управления. Я установлю некоторые переменные Session, такие как userid и username.

• Первые вопросы: можно ли манипулировать этими переменными? Я хотел бы показать имя пользователя, который вошел в систему. Могу ли я использовать это из переменной Session или мне нужно всегда извлекать его из базы данных?

Далее, когда он вошел в систему, пользователь должентолько просматривать его личные фотографии. У меня есть запрос PHP, который возвращает файлы изображений в формате JSON. Работает хорошо. Но как я могу сделать это безопасно и сохранить?

• Какой параметр я должен опубликовать в этот JSON? Просто опубликовать идентификатор пользователя из переменных сеанса? Но что, если кто-то попытается вызвать этот PHP и просто изменить идентификатор пользователя? Он будет получать фотографии от кого-то еще? Как я могу убедиться, что человек, который делает запрос, действительно является человеком?

Заранее спасибо. Я действительно заинтересован в этой теме, я хотел бы узнать больше.

Answer 1

Первые вопросы: можно ли манипулировать этими переменными? Я хотел бы показать имя пользователя, который вошел в систему. Могу ли я использовать это из переменной Session или мне нужно всегда извлекать его из базы данных?

Прежде всего, установите идентификатор пользователя в сеансеи получить данные на основе этого userid. Было бы безопасно использовать глобальную переменную для входа в систему, такую ​​как: $_SESSION["is_login"] = true;

Пожалуйста, проверьте сначала, если userid и is_login оба существуют, тогда ваша страница должна двигаться дальше, иначе она должна показать ошибку.

Далее при входе в систему пользователь должен просматривать только свои личные фотографии. У меня есть запрос PHP, который возвращает файлы изображений в формате JSON. Работает хорошо. Но как я могу сделать это безопасным и сохранить?

Какой параметр я должен опубликовать в этот JSON? Просто опубликовать идентификатор пользователя из переменных сеанса? Но что, если кто-то попытается вызвать этот PHP и просто изменить идентификатор пользователя? Он будет получать фотографии от кого-то еще? Как я могу убедиться, что человек, который делает запрос, действительно является человеком?

Вы должны передать зашифрованный userid или is_login на URL и проверить его, чтобы проверить, является ли онправда? иначе используйте изображение по умолчанию вместо изображения пользователя

Answer 2

Первые вопросы: можно ли манипулировать этими переменными? Я хотел бы показать имя пользователя, который вошел в систему. Могу ли я использовать это из переменной Session или мне нужно всегда извлекать его из базы данных?

Отображение из сеанса обычно достаточно, нода, вы можете манипулировать им.

Какой параметр я должен опубликовать в этот JSON? Просто опубликовать идентификатор пользователя из переменных сеанса? Но что, если кто-то попытается вызвать этот PHP и просто изменить идентификатор пользователя? Он будет получать фотографии от кого-то еще? Как я могу убедиться, что человек, который делает запрос, действительно является человеком?

Отправьте идентификатор пользователя в запросе. Затем в серверной части проверьте, совпадает ли этот идентификатор с идентификатором текущего зарегистрированного пользователя. Если это так, верните изображение, если нет, верните ошибку. Вот как вы можете сделать это безопасно.