Не обойдут ли редирект?

Question

[ruhareinc]

Привет всем. Простой вопрос. У меня после авторизации на сайте идет форма добавления в базу данных, чтобы не авторизованные пользователи не смогли просочиться я сделал следующее,

session_start();
if (empty($_SESSION['username'])){
   header ('Location: http://mysite.ru/autorize.php');
}

Хватит этого на первое время для защиты?

Comments

[alex stephen]

только die добавьте после заголовка, чтобы скрипт впустую не выполнялся

Answer 1

[Юрий]

только die забывать нельзя, без него вся страница рендерится и отдается на клиент.
и домен можно не писать

session_start();
if (empty($_SESSION['username'])){
   header ('Location: /autorize.php');
   die();
}

Comments

[ruhareinc]

Юрий спасибо. учту!

Answer 2

[DireX]

Да, вполне.

Comments

[Юрий]

без die вся страница будет рендерится, а там и ошибки могут вылезти изза того что автор не предусмотрел что ее может просматривать не авторизованный.
даи те кому надо будут смотреть весь контент, не авторизуясь, загружая через curl например

[Юрий]

или в консоли браузера

[DireX]

Юрий: Да, Вы правы.

Answer 3

[Melkij]

header только изменяет заголовок, но не прерывает работу скрипта.

Answer 4

[Котик Антон]

Всё зависит от того, на сколько защищено хранилище сессий и код, которые устанавливает значение $_SESSION['username']. В любом случае, если захотят обойдут. А "на первое время" обычно остаётся на долгие годы.

Comments

[ruhareinc]

27cm спасибо! просто это действительно на первое время, чтобы не тратить время на защиту, а заниматься формами

[ТёмнаяМатерия]

А как правильно в этом случае делать?

[ruhareinc]

ТёмнаяМатерия: насколько я понимаю , нужно все делать через вьюшки (views) и в них уже проверять сессии и прочие данные. а оттуда уже делать выводы о редиректах и прочем

[Котик Антон]

ТёмнаяМатерия: Правильно - не изобретать велосипед, а использовать готовые и протестированные сотнями специалистов библиотеки / фреймворки, тем более в таких вопросах как аутентификация и авторизация.

[ТёмнаяМатерия]

27cm: не ну если фреймворк не вариант использовать, логика как бы какая правильная должна быть?

[evnuh]

ТёмнаяМатерия: если использовать не вариант, то посмотреть, как оно реализовано в фреймворках и реализовать самому, сразу появится возможность использовать фреймворки :)

[ТёмнаяМатерия]

evnuh: нет я не хочу даже смотреть в них, к тому же меня интересует всего одна фраза. Например: надо дополнительно проверять то-то и то-то перед тем-то и тем-то.

[evnuh]

ТёмнаяМатерия: если такой умный, то чего ж вопросы на тостере то задаёшь? Не хочет он код смотреть.

[ТёмнаяМатерия]

evnuh: Ну вот вам сложно тупому человеку написать одну строчку со схемой этой проверки? Просто я за вами тут давно слежу, знаю что вы профи, доверяю вам. Если бы мне это отвечал новичок, я бы подумал что он сам не знает как это работает типа мне пох фреймворк делает всё за меня. А так у кого ещё спросить если не у профи. Смысл мне работать с фреймворком как с чёрной коробочкой если я не знаю как она устроена?

[evnuh]

ТёмнаяМатерия: я вас отсылал к фреймворкам посмотреть их исходный код, потому что фреймворки на PHP - это не чёрные коробочки, а все исходники выложены на гитхаб.
Доступ к счессиям есть только у сервера, поэтому с ними безопасно работать и безопасно в них хранить информацию об аутентификации.