问答系统的权限问题(关闭非自己名下的问题)

2018-11-05 15:10发布

站内问答 / 问答系统3.7讨论
2006 1 1

在测试中发现,通过伪造和修改ID。可以关闭非自己名下的问题。后台缺少对问题作者和id之间的匹配关系。所以可以有这种攻击发生,大家有好的解决办法吗?

友情提示: 此问题已得到解决,问题已经关闭,关闭后问题禁止继续编辑,回答。
该问题目前已经被作者或者管理员关闭, 无法添加新回复
1条回答
mishen - whatsns产品经理
1楼-- · 2018-11-06 16:53

可以的


做个判断就行

 if ($question ['authorid'] != $this->user ['uid'] || $this->user ['uid'] == 0) {

$this->message ( "非法操作!", "STOP" );

exit ();

}


一周热门 更多>