问答系统的权限问题(关闭非自己名下的问题)

2018-11-05 15:10发布

在测试中发现,通过伪造和修改ID。可以关闭非自己名下的问题。后台缺少对问题作者和id之间的匹配关系。所以可以有这种攻击发生,大家有好的解决办法吗?

标签:
1条回答
mishen
2楼-- · 2018-11-06 16:53

可以的


做个判断就行

 if ($question ['authorid'] != $this->user ['uid'] || $this->user ['uid'] == 0) {

$this->message ( "非法操作!", "STOP" );

exit ();

}


登录 后发表回答