【未授权】xhcms

问题：

未经验证直接访问后台页面

代码分析：

访问后台页面时判断cookie是否存在user，为空才会跳转到login

<?php
$user=$_COOKIE['user'];
if ($user==""){
header("Location: ?r=login");
exit;    
}
?>

代码调试：

访问index.php

 继续步入后会require /inc/checklogin.php进行判断

 user=1就跳出该if判断，不用登录

 

 

测试：