首頁 >後端開發 >php教程 >有漏洞無作為才可怕、可恥!

有漏洞無作為才可怕、可恥!

WBOY
WBOY原創
2016-07-29 09:10:29917瀏覽

  安全問題:

  是否有權限進行CURD,因為參數在地址列裡,是可以修改的,(或參數在html頁面裡,可以用firebug修改源碼),所以進行CURD之前要先查詢該操作人是否擁有這條記錄,例如:根據門市ID和傳遞的參數查詢這條記錄是否屬於這個操作人,如果不屬於就提示(非法操作,已被記錄!,以達到警告的目的)

  例如:

<span>/*</span><span>     * 校验是否有权限进行CURD
     </span><span>*/</span><span>public</span><span>function</span> check_rbac(<span>$theme_id</span><span>){
        </span><span>$model</span>=<span>M();
        </span><span>$adm_session</span> = es_session::get(<span>md5</span>(conf("BI_AUTH_KEY")), 1<span>);
        </span><span>$location_id</span>=<span>$adm_session</span>['supplier_locations'<span>];
        </span><span>$map</span>=<span>array</span>('id'=><span>$theme_id</span>,'location_id'=><span>$location_id</span><span>);
        </span><span>$result</span>=<span>$model</span>->where(<span>$map</span>)->getField('id'<span>);
        </span><span>if</span>(<span>empty</span>(<span>$result</span><span>)){
            </span><span>$this</span>->error('非法操作,已被记录!'<span>);
        }

    }</span>

以上就介紹了有漏洞無作為才可怕、可恥! ,包括了方面的內容,希望對PHP教程有興趣的朋友有所幫助。

陳述:
本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn