Bu verilen bir kullanıcı sayfadaki içeriği görüntülemek için yetkili olup olmadığını belirlemek için yazdı tekrarlanan bir fonksiyon. Bu, temel olarak şu şekilde adlandırılır:
if(authorize($_SESSION['user']['user_id'], $necessaryClearance)){
//Output restricted content
} else{
//Inform user they are not authorized
}
Her kullanıcı bir açıklık düzeyi, hem de bir açıklık statüye sahiptir. Kullanıcı maç hangi herhangi biri - bu bir yetki fonksiyon kullanıcı maç ya da dövmek olan bir açıklık düzeyi, bir kullanıcı maç var bir boşluk durumu, ya da durumların bir dizi olarak $ izni ile çağrılacak verir. Genellikle $ User_id oturum verileri (her sayfa yük veritabanından yenilenir $ _SESSION ['user']: ['$ User_id']) dan çekilir, ve boşluk ya da üzerinde açıkça ayarlanmış bir sayfa başına veya başı modüllü temeli.
//This function checks if the user is authorized to view the page
//It returns 1 if access is granted and a 0 if access is denied
function authorize($id, $clearance){
//$clearance == array
if (is_array($clearance)){
//if yes Iterate array through Authorize($id, $clearance[])
foreach($clearance as $userStatus){
$tally += authorize ($id, $userStatus);
}
return $tally;
//if no check if $clearenance is equal to a string
}else if (is_string ($clearance)){
$string = "SELECT status
FROM users
WHERE id = '$id'
LIMIT 1";
//If result returned.
if($userData = mysql_fetch_array(Query($string))){
if($clearance == $userData['status']){
return 1;
}else{
return 0;
}
} else{
return 0;
}
// if no check if $clearance is equal to a number
}else if(is_numeric($clearance)){
$string = "SELECT level
FROM users
WHERE id = '$id'
LIMIT 1";
//If result returned
if($userData = mysql_fetch_array(Query($string))){
// if number is less than or equal to clearance level allow access
if($userData['level'] <= $clearance){
return 1;
}else{
return 0;
}
} else{
return 0;
}
}else{
//if nothing matches the page dies
die('Authorization has failed.');
}
}
Kodunda herhangi bir göze batan güvenlik açıkları var mı?