- PHP学习心得(三)——处理表单
- 极客编程必备的五大PHP开发应用
- 帝国CMS 列表模板list.var支持程序代码
- PHP 5.6.0发布 use关键字可导入函数与常量
- PHP资源列表
- [视频教程]PHP100视频教程23:PHP面向对象开发的学习(七)
- 【OpenCV入门教程之二】一览众山小:OpenCV2.4.8orOpenCV2.4.9组件结构全解析(转)
- [视频教程]PHP100视频教程73:PHP MemCached高级缓存配置
- 一贴学会PHP
- php发送带附件邮件的实现代码
- WhichPHPmode?ApachevsCGIvsFastCGI
- PHP的FTP学习(四)
- file_get_contents函数不能使用的解决方法
- 谈谈PHP语法(5)
- 睡觉问题早晚成为我顶头疼的问题。。。-PHP
- 一个个人网页自动化生成系统(3)
- PHP实现文件安全下载
- 用新PHP插件实现MySQL为基础的事务
- PHP开发大型Web应用浅析
- WORDPRESS插件开发学习(一)HELLO WORLD
- 第一个有点作用的PHP扩展
- PHP自动更新新闻DIY
- drupal7创始人root忘记密码的解决办法
- 报表的缓存基本存储和读写
- 手把手教你做关键词匹配项目(搜索引擎)---- 第四天
- [视频教程]PHP100视频教程43:PHP中MVC学习之ThinkPHP(上)
- [视频教程]LAMP兄弟连视PHP函数-strip_tags
- Zend Framework 入门(2)—多国语言支持
- PHP 魔术方法 __sleep __wakeup(四)
- PHP,Mysql-根据一个给定经纬度的点,进行附近地点查询–合理利用算法,效率提高2125倍
有漏洞无作为才可怕、可耻!
作者:佚名 php网站开发编辑:admin 更新时间:2022-07-23
安全问题:
是否有权限进行CURD,因为参数在地址栏里,是可以修改的,(或参数在html页面里,可以用firebug修改源码),所以进行CURD之前要先查询该操作人是否拥有这条记录,比如:根据门店ID和传递的参数查询这条记录是否属于这个操作人,如果不属于就提示(非法操作,已被记录!,以达到警告的目的)
例如:
/*
* 校验是否有权限进行CURD
*/
public function check_rbac($theme_id){
$model=M();
$adm_session = es_session::get(md5(conf("BI_AUTH_KEY")), 1);
$location_id=$adm_session['supplier_locations'];
$map=array('id'=>$theme_id,'location_id'=>$location_id);
$result=$model->where($map)->getField('id');
if(empty($result)){
$this->error('非法操作,已被记录!');
}
}
- 上一篇文章: array_merge函数的注意事项
- 下一篇文章: 用代码如何知道当前正在使用的哪个数据库?