有漏洞无作为才可怕、可耻!
安全问题:
是否有权限进行CURD,因为参数在地址栏里,是可以修改的,(或参数在html页面里,可以用firebug修改源码),所以进行CURD之前要先查询该操作人是否拥有这条记录,比如:根据门店ID和传递的参数查询这条记录是否属于这个操作人,如果不属于就提示(非法操作,已被记录!,以达到警告的目的)。SQL的where条件不能太单一!
例如:
/** 校验是否有权限进行CURD*/public function check_rbac($theme_id){$model=M();$adm_session = es_session::get(md5(conf("BI_AUTH_KEY")), 1);$location_id=$adm_session['supplier_locations'];$map=array('id'=>$theme_id,'location_id'=>$location_id);$result=$model->where($map)->getField('id');if(empty($result)){$this->error('非法操作,已被记录!');}}
如果您阅读过此文章有所收获,请为我顶一个,如果文章中有错误的地方,欢迎指出。
相互学习,共同进步!
转载于:https://www.cnblogs.com/zhangxiaoliu/p/5043704.html
有漏洞无作为才可怕、可耻!相关推荐
- raid配置ssd为缓存_SSD并不可怕 设置不当掉速毁盘才可怕
1SSD读写狂飙 如何设置不掉速 SSD固态硬盘如今成为装机配置中的必选产品,动辄500-600MB/秒的读写速度,可能因为主板.SSD设置不对,SSD的性能没有真正发挥出来.硬盘掉速问题最早来源于机 ...
- 天冷不可怕,心冷才可怕!!!
最近天气降温,约克这边天天下雪.晚上从图书馆回家时,常常边走边思考,外加上这天气,难免有些触动,到家直接改QQ签名:天冷不可怕,心冷才怕! 结果,引来一位好友的质问:为什么这样写?你失恋了?怎么感觉像 ...
- 5分钟盗走你的隐私照片,这个全球性漏洞到底有多可怕
全世界只有3.14 % 的人关注了 爆炸吧知识 转自:好机友 ID:goodjiyou 这个时代,大家对电脑出现漏洞,可能已经习以为常. 但如果机哥告诉大家,这个漏洞能够在 5 分钟内,破解并盗取你所 ...
- 2014黑帽大会揭露十大恐怖安全漏洞!
2014年度黑客大会再次召开,黑客和安全大牛们齐聚拉斯维加斯,向世人展示他们的惊人技能.从能入侵飞机的代码到监视监控摄像头,再到把任意USB设备变成攻击工具--尽管这些安全问题,看起来是耸人听闻了些许 ...
- 纯干货:微软漏洞中国第一人黄正——如何用正确姿势挖掘浏览器漏洞(附完整 PPT)|硬创公开课...
浏览器就像一扇窗,通过这扇窗,黑客可以攻入电脑的心脏. 就像情场高手,通过眼睛,融化一个人的心灵. 黄正,百度安全实验室 X-Team 掌门人.2016年,这个信仰"技术可以改变世界&quo ...
- java 框架漏洞网站_在分层架构下寻找java web漏洞
web开发应用程序(网站),是目前应用最广泛的程序.但是开发者的水平参差不齐,导致了各种各样web漏洞的出现.本文站在分层架构的角度,分析一下如何在java web程序中找到可能出现的种种漏洞. 本文 ...
- SQL注入漏洞的检测与防范技术
提 要 本文从SQL注入的基本概念和注入原理入手,分析总结了SQL注入漏洞的检测及其防范技术措施. 关键词 SQL注入漏洞 检测 防范技术 引 言 近几年来随着计算机网络和WEB技术的飞速 ...
- 指标波动多大才算是异常?
指标波动不可怕,指标波动代表的业务场景才可怕!脱离业务场景谈指标波动就是耍流氓. 指标波动分类 第一类:硬指标波动. 有一些指标是刚性考核业务部门的.比如 考核销售:业绩.回款 考核商品:库存.毛利 ...
- fastjson 序列化 不包括转义字符_fastjson再次发现漏洞,可能发生OOM导致宕机
发现漏洞:issue2689 2019年9月2号有开发者在fastjson的仓库提了一个issue:Fastjson新版本解析到特定字符后直接触发异常. 具体问题是:字符串中包含x转义字符时可能引发O ...
最新文章
- C# 操作Cookie类
- CI中PHP写法规范(不断更新)
- 设计模式 命令模式 实例_根据您的命令-命令设计模式
- 描述一下JVM加载class文件的原理机制
- NO1:在Windows端安装SecureCRT来连接Linux
- 安装oracle需要多少内存,针对大型内存配置的 Oracle VM 安装需要更多步骤 (7195262)...
- windows中安装64位MySQL及连接MySQL和重置MySQL密码
- 职场上,领导讨厌但老板喜欢的3类员工
- 基础算法 -- 贪心算法
- 260.只出现一次的数字III
- 杭电acm题库 1001 统计气球问题
- 小米android安装包下载安装,小米应用商店安装包下载
- php同步今日头条,135编辑器可直接同步今日头条,新功能同时上线!
- 微分方程和线性代数(分离变量法开始)
- 微信公众平台接口程序语音天气
- JAVA编写PTA(10分)
- 偏移变色lisp_直线偏移联动 - AutoLISP/Visual LISP 编程技术 - CAD论坛 - 明经CAD社区 - Powered by Discuz!...
- Qt Quick 3D模块初探
- Duplicate File Detective(电脑重复文件清理软件)官方正式版V7.0.78.0 | 电脑怎么扫描重复文件
- 细细品味C#——重构的艺术
热门文章
- 试用memcached高可用repcached
- in和exists的区别与执行效率问题解析
- Android中Parcel的分析以及使用
- php mysql操作封装_php封装MySQL数据库基本操作
- 过采样为什么能提高信噪比
- 郭天祥:我的大学六年
- 把脉Linux上USB数据流
- 从源码分析DEARGUI之add_window
- Authentication method 'caching_sha2_password' not supported by any of the available plugins.
- 基于Codis的Redis集群部署