问答系统的权限问题(关闭非自己名下的问题)

2018-11-05 15:10发布

在测试中发现,通过伪造和修改ID。可以关闭非自己名下的问题。后台缺少对问题作者和id之间的匹配关系。所以可以有这种攻击发生,大家有好的解决办法吗?

友情提示: 此问题已得到解决,问题已经关闭,关闭后问题禁止继续编辑,回答。
1条回答

可以的


做个判断就行

 if ($question ['authorid'] != $this->user ['uid'] || $this->user ['uid'] == 0) {

$this->message ( "非法操作!", "STOP" );

exit ();

}


一周热门 更多>