$ _SERVER ['REQUEST_URI'] надежность?

Question

На одном из моих сайтов я использую $_SERVER['REQUEST_URI'], чтобы установить, может ли незарегистрированный пользователь видеть содержимое страницы или нет.

В руководстве там написано о $_SERVER['REQUEST_URI']:

URI, который был дан для того, чтобы получить доступ к этой странице; например, '/index.html'.

Мой вопрос заключается в том, может ли клиент получить доступ, например. index.php, хотя $_SERVER['REQUEST_URI'] содержит другое значение?

Я знаю, что $_SERVER['REQUEST_URI'] содержит страницу, спросил клиент, и сервер возвращает, но если я не задавала себе такого рода вопросы один раз в то время я не доволен

Также он считается хорошим Практиковать, чтобы использовать $_SERVER['REQUEST_URI'] таким образом?

EDIT: Я включил скрипт я использую, как это было слишком общий

list($c_page) = explode('.',substr($_SERVER['REQUEST_URI'],1)); 
define('C_PAGE',$c_page ?: 'index'); 
define('LOGGED',$_SESSION['user']['id'] ?: 0); 
if(in_array(C_PAGE,array('page_1','page_2','page_3')) && !LOGGED){ header('Location: login.html'); exit; } 

Answer 1

В зависимости от softwarestack сервера вы используете эту переменную, заданную веб-сервером или оберткой fastcgi.

URL-адреса и непрозрачные прокси-файлы в стеке оборудования/программного обеспечения могут влиять на значение, которое вы видите в своем скрипте.

например. Nginx может переписать URL-адрес из /test.html в /index.php?action=test, а затем передать его на ваш веб-сервер. Пользователь вызвал бы /test.html, пока ваше приложение увидит /index.php?action=test

Заключение: REQUEST_URI - это URI, переданный на веб-сервер, и может использоваться как ссылка для элементов управления доступом на основе URL.

EDIT:

только, чтобы избежать путаницы, потому что я видел другие ответы ...

Ваш вопрос, как я понял: Вы хотите, чтобы проверить погоду Вы в данный момент запроса и уже пароль разрешенным у пользователя достаточно разрешений для доступа к определенным URL-адресам.Опять-таки, да, вы можете использовать запрос URI в качестве опорного значения

Answer 2

Лично я считаю его более надежным, чтобы объявить одну или несколько групп (классов) пользователей, которые должны иметь доступ к файл, а затем включить страницу, которая возвращает ошибку 401, если зарегистрированный пользователь, если не в какой-либо из этих групп. например

session_start(); 
... 
$access = 'admin'; 
include 'inc/guard.php'; 

Похоже, в вашем случае, если вы хотите «общественность» и «вошли в», который немного отличается, но это случай также охватывается мой охранник сценария. Там, я просто проверить, что переменная $_SESSION пуста (вставить материал в него на вход в систему):

if($access != 'public' && empty($_SESSION)) { 
    header('HTTP/1.1 401 Unauthorized', true); 
    include 'inc/login.php'; 
    exit; 
} 

Answer 3

Вы действительно должны отслеживать их вход с переменной сеанса (или печенья). Любой из них может быть заблокирован ... но они ближе к «надежной». Тем не менее, все может быть подделано ... поэтому используйте комбинацию и/или сильные уникальные строки, если безопасность имеет первостепенное значение.