Uitleg E (Rechten op pagina zelf)
Beveiligingslek bij voorbeeld D
Bij voorbeeld D zijn menu-items niet zichtbaar wanneer je er geen rechten op hebt, maar als je in de URL dan gewoon ?pag=pagE toevoegd, opent pagina E zich gewoon in de content... Alleen het menu onzicthbaar maken is geen sterke beveiliging..!FOUT: in de pagina zelf aangeven wat de rechten op die pagina zijn
Je zou bijvoorbeeld boven in pagE kunnen zetten dat deze alleen geopend mag worden als je als "admin" ingelogd bent dat is niet goed!. Hiermee leg je namelijk op 2 plekken vast wat de rechten op die pagina zijn (bij de menu-array en in de pagina zelf), als je die per ongeluk laat verschillen t.o.v. elkaar, krijg je rare fouten.Je moet alleen in de menu-array kijken of de pagina getoond mag worden.
Controle op rechten bij include van pagina in content
Ook als de pagina via GET is doorgegeven willen we alle eigenschappen van de pagina te weten (en dus ook de rechten). We gaan deze daarvoor in een aparte session-array opslaan.
Elk menu-item heeft nu een eigen id, heeft ook invloed op de GET-waarde: je roept nu niet meer "?pag=pagA" aan maar bijv. "?pag=1"
Opbouwen menu-array
Je moet een session-menu-array opbouwen (direct na plaatsten van bovenstaande menu-array) waar alle eigenschappen per menu in opgeslagen zijn.
Aanpassen content met nieuwe rechten-check
