有破绽无作为才可怕、可耻
- WBOY원래의
- 2016-06-13 12:27:53873검색
有漏洞无作为才可怕、可耻!
安全问题:
是否有权限进行CURD,因为参数在地址栏里,是可以修改的,(或参数在html页面里,可以用firebug修改源码),所以进行CURD之前要先查询该操作人是否拥有这条记录,比如:根据门店ID和传递的参数查询这条记录是否属于这个操作人,如果不属于就提示(非法操作,已被记录!,以达到警告的目的)
例如:
<span style="color: #008000;">/*</span><span style="color: #008000;"> * 校验是否有权限进行CURD </span><span style="color: #008000;">*/</span> <span style="color: #0000ff;">public</span> <span style="color: #0000ff;">function</span> check_rbac(<span style="color: #800080;">$theme_id</span><span style="color: #000000;">){ </span><span style="color: #800080;">$model</span>=<span style="color: #000000;">M(); </span><span style="color: #800080;">$adm_session</span> = es_session::get(<span style="color: #008080;">md5</span>(conf("BI_AUTH_KEY")), 1<span style="color: #000000;">); </span><span style="color: #800080;">$location_id</span>=<span style="color: #800080;">$adm_session</span>['supplier_locations'<span style="color: #000000;">]; </span><span style="color: #800080;">$map</span>=<span style="color: #0000ff;">array</span>('id'=><span style="color: #800080;">$theme_id</span>,'location_id'=><span style="color: #800080;">$location_id</span><span style="color: #000000;">); </span><span style="color: #800080;">$result</span>=<span style="color: #800080;">$model</span>->where(<span style="color: #800080;">$map</span>)->getField('id'<span style="color: #000000;">); </span><span style="color: #0000ff;">if</span>(<span style="color: #0000ff;">empty</span>(<span style="color: #800080;">$result</span><span style="color: #000000;">)){ </span><span style="color: #800080;">$this</span>->error('非法操作,已被记录!'<span style="color: #000000;">); } }</span>
성명:
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.
이전 기사:7牛远程抓取图片다음 기사:怎么隐藏掉Nginx的版本号