Если постоянному и злонамеренному пользователю повезло и загрузили один из ваших секретных файлов в браузер, а эти секретные файлы содержат много переменных, которые определены только в том случае, если файл был перенаправлен, что вы делаете?Что происходит, если кто-то пытается загрузить мой файл аутентификации?
Это проверочный скрипт для login.php, который был моим оригинальный сценарий
if (!isset($_POST['email']) && !isset($_POST['pwd'])) {
header ('Location: http://localhost/grace/verify/login.php');
exit;
}
// connect to database
$verify = 'SELECT pwd FROM users WHERE email = ?';
// query
if ($password == $storedPwd) {
$_SESSION['verified'] = 'yay!';
$_SESSION['start'] = time();
session_regenerate_id();
header ("Location: $redirect");
exit;
} else {
$error = 'Invalid Email or password';
}
Там может быть так много других способов сделать тот же сценарий, но в моем случае , чтобы решить мою проблему, решение - мой ответ в ответах ниже.
Вы должны опубликовать его на http://codereview.stackexchange.com/. – xdevnull
Ну, простой «лучший» способ состоял бы в том, чтобы файлы хранятся внутри проекта, но за пределами корня документа веб-сервера. –
Какой секретный файл? Они не будут видеть код PHP, если у вас есть все, что нужно. – ceejayoz