安全問題:
是否有權限進行CURD,因為參數在地址欄里,是可以修改的,(或參數在html頁面里,可以用firebug修改源碼),所以進行CURD之前要先查詢該操作人是否擁有這條記錄,比如:根據門店ID和傳遞的參數查詢這條記錄是否屬于這個操作人,如果不屬于就提示(非法操作,已被記錄!,以達到警告的目的)
例如:
/* * 校驗是否有權限進行CURD */ public function check_rbac($theme_id){ $model=M(); $adm_session = es_session::get(md5(conf("BI_AUTH_KEY")), 1); $location_id=$adm_session['supplier_locations']; $map=array('id'=>$theme_id,'location_id'=>$location_id); $result=$model->where($map)->getField('id'); if(empty($result)){ $this->error('非法操作,已被記錄!'); } }
新聞熱點
疑難解答
