Kod för administrationssidor eller annat "privat"?

Vid inloggningen kan du tex sätta:

$_SESSION['admin_login'] = 'true';

Varpå du kollar vilken typ av js som ska hämtas in:

if($_SESSION['admin_login'] == 'true'){
echo '<script type="text/javascript" src="./js/admin_menu.js"></script>';
}else{
echo '<script type="text/javascript" src="./js/public_menu.js"></script>';
}

Du skulle även kunna lägga de känsligare admindelarna i en mapp som är svår att gissa sig till.

Ett annat alternativ kan vara att baka in javascript i php och använda samma metod som ovan.

Jag önskar jag var mer insatt i php och säkerhet, men fler får fylla på.

<?php
function logged_in() {
	if($_SESSION['admin'] == 'true') return true;
	else return false;
}
?>

<?php
if(logged_in()) { >?<script type="text/javascript" src="myscript.php"></script><?php }
?>

<?php
if(!logged_in()) { header("Location: index.php"); }
?>
// Massa javascript här


Eller måste jag ha allt JS här inom <script>? Verkar ologiskt eftersom jag redan använt det i headern?

borde man inte kunna ha

if($_SESSION['admin'])
{

}

så slipper man ett call för en funktion logged_in() som egentligen inte gör så mycket? har för mig det ska fungera, egentligen minor detail

Finns många sätt, men detta är ju ett sätt

javascript.php

<?PHP
	session_start();
	
	if($_SESSION['admin'] == 'true')
		require_once('./admin.js');
	else
		require_once('./default.js');
?>

Sen i samma mapp har du admin.js och default.js. Samma sak kan göras med CSS.

Allt som därefter behövs på din sida är

<script type="text/javascript" src="javascript.php"></script>

Bara en liten reflektion här, koden som skyddar så att vissa inte kan genomföra admin åtgärder ska inte ligga i kollen om man får hämta ett javascript eller inte utan ska ligga där åtgärden genomförs, dvs det är inte farligt om någon får se edit gränssnittet för en sida så länge det inte händer något när man trycker på spara knappen.
Och självklart ska man ha kod på båda ställena, dvs både när man hämtar filen/sidan och när man genomför åtgärden men jag vill bara belysa vad som är viktigast.

/Viktor

Jag håller med vg132.

Nu kommer jag inte riktigt ihåg hur phps olika session-saker ser ut, men något liknande:
Kolla om användaren utger sig för att vara admin ( $_SESSION["admin"] == true ?), om nej, visa vanliga sidan.
Om ja, kolla om det är samma header som skickas (samma webbläsare och samma version av webbläsre), (ex. $_SESSION["head"] == md5($_SERVER["HTTP_REMOTE_ADDR"])?).
Förnya session-id, tror det är session_renew_id() eller något sånt i php.

Jag har för mig detta räcker, för om jag inte har fel så sparas bara session-idt i besökarens läsare och själva session-informationen lagras på serversidan? Annars kan man lägga till någon egen märklig nyckel för att göra allt lite svårare.

Kollar du detta varje gång innan sidor laddas så vet du om anvndaren är admin och om denne ska få göra ändringar på sidan. Allt i php så det spelar ingen roll alls om ingen eller hela världen vet hur dina javascript ser ut.

Som sagt innan kommer du behöva ett inloggnings script skrivet i t.ex. php. När du har det och kan checka så att användaren är admin och om den är det så kan du använda ett template system för att visa sidan, antingen genom att göra själv eller använda vanligt. På detta sättet kan du denya all access till html/js/css,osv. Template systemet använde filegetcontents för att hämta data från filen men det är jobbigare med bilder och liknande det lättaste där är att du gör ett script för den saken som kollar användaren och kör filegetcontents på filen för att hämta den från den "låsta" mappen. Personligen är jag inte mycket för att gömma html, css och bilder från användaren men kan säga att jag själv använder liknande system för bilder men utav en annan anledning, jag har nämligen ett thumbnail script som kallas på när vissa bilder ska visas, detta p.g.a. att webbläsarens nerskalning oftast är dålig och ful samt för att spara bandbredd för användare och server. Det scriptet genererar en thumbnail med bra kvalitet första gången det kallas och sedan streamar det till webbläsaren och när det kallas i fortsättningen efter det så hämtar den thumbnailen som skapades första gången och streamar till browsern men det bygger fortfarande på lite samma teknik. Ett annat bra exempel är många filuppladdningssidor med restriktioner på hur mycket och under vilken tid en fil får laddas ner där används också oftast samma teknik. Om du inte förstår så kan du läsa upp på http://php.net/manual/en/function.file-get-contents.php men det är väldigt simpelt och enkelt.