有漏洞无作为才可怕、可耻！，漏洞作为安全问题：
是否有权限进行curd，因为参数在地址栏里，是可以修改的，（或参数在html页面里，可以用firebug修改源码），所以进行curd之前要先查询该操作人是否拥有这条记录，比如：根据门店id和传递的参数查询这条记录是否属于这个操作人，如果不属于就提示（非法操作，已被记录！，以达到警告的目的）
例如：
/* * 校验是否有权限进行curd */ public function check_rbac($theme_id){ $model=m(); $adm_session = es_session::get(md5(conf(bi_auth_key)), 1); $location_id=$adm_session['supplier_locations']; $map=array('id'=>$theme_id,'location_id'=>$location_id); $result=$model->where($map)->getfield('id'); if(empty($result)){ $this->error('非法操作，已被记录！'); } }
http://www.bkjia.com/phpjc/1080769.htmlwww.bkjia.comtruehttp://www.bkjia.com/phpjc/1080769.htmltecharticle有漏洞无作为才可怕、可耻！，漏洞作为 安全问题： 是否有权限进行curd，因为参数在地址栏里，是可以修改的，（或参数在html页面里，可...