安全问题:

  是否有权限进行CURD,因为参数在地址栏里,是可以修改的,(或参数在html页面里,可以用firebug修改源码),所以进行CURD之前要先查询该操作人是否拥有这条记录,比如:根据门店ID和传递的参数查询这条记录是否属于这个操作人,如果不属于就提示(非法操作,已被记录!,以达到警告的目的)。SQL的where条件不能太单一!

  例如:

    

    /** 校验是否有权限进行CURD*/public function check_rbac($theme_id){$model=M();$adm_session = es_session::get(md5(conf("BI_AUTH_KEY")), 1);$location_id=$adm_session['supplier_locations'];$map=array('id'=>$theme_id,'location_id'=>$location_id);$result=$model->where($map)->getField('id');if(empty($result)){$this->error('非法操作,已被记录!');}}

  

如果您阅读过此文章有所收获,请为我顶一个,如果文章中有错误的地方,欢迎指出。

相互学习,共同进步!

转载于:https://www.cnblogs.com/zhangxiaoliu/p/5043704.html

有漏洞无作为才可怕、可耻!相关推荐

  1. raid配置ssd为缓存_SSD并不可怕 设置不当掉速毁盘才可怕

    1SSD读写狂飙 如何设置不掉速 SSD固态硬盘如今成为装机配置中的必选产品,动辄500-600MB/秒的读写速度,可能因为主板.SSD设置不对,SSD的性能没有真正发挥出来.硬盘掉速问题最早来源于机 ...

  2. 天冷不可怕,心冷才可怕!!!

    最近天气降温,约克这边天天下雪.晚上从图书馆回家时,常常边走边思考,外加上这天气,难免有些触动,到家直接改QQ签名:天冷不可怕,心冷才怕! 结果,引来一位好友的质问:为什么这样写?你失恋了?怎么感觉像 ...

  3. 5分钟盗走你的隐私照片,这个全球性漏洞到底有多可怕

    全世界只有3.14 % 的人关注了 爆炸吧知识 转自:好机友 ID:goodjiyou 这个时代,大家对电脑出现漏洞,可能已经习以为常. 但如果机哥告诉大家,这个漏洞能够在 5 分钟内,破解并盗取你所 ...

  4. 2014黑帽大会揭露十大恐怖安全漏洞!

    2014年度黑客大会再次召开,黑客和安全大牛们齐聚拉斯维加斯,向世人展示他们的惊人技能.从能入侵飞机的代码到监视监控摄像头,再到把任意USB设备变成攻击工具--尽管这些安全问题,看起来是耸人听闻了些许 ...

  5. 纯干货:微软漏洞中国第一人黄正——如何用正确姿势挖掘浏览器漏洞(附完整 PPT)|硬创公开课...

    浏览器就像一扇窗,通过这扇窗,黑客可以攻入电脑的心脏. 就像情场高手,通过眼睛,融化一个人的心灵. 黄正,百度安全实验室 X-Team 掌门人.2016年,这个信仰"技术可以改变世界&quo ...

  6. java 框架漏洞网站_在分层架构下寻找java web漏洞

    web开发应用程序(网站),是目前应用最广泛的程序.但是开发者的水平参差不齐,导致了各种各样web漏洞的出现.本文站在分层架构的角度,分析一下如何在java web程序中找到可能出现的种种漏洞. 本文 ...

  7. SQL注入漏洞的检测与防范技术

    提 要   本文从SQL注入的基本概念和注入原理入手,分析总结了SQL注入漏洞的检测及其防范技术措施. 关键词  SQL注入漏洞 检测 防范技术 引 言    近几年来随着计算机网络和WEB技术的飞速 ...

  8. 指标波动多大才算是异常?

    指标波动不可怕,指标波动代表的业务场景才可怕!脱离业务场景谈指标波动就是耍流氓. 指标波动分类 第一类:硬指标波动. 有一些指标是刚性考核业务部门的.比如 考核销售:业绩.回款 考核商品:库存.毛利 ...

  9. fastjson 序列化 不包括转义字符_fastjson再次发现漏洞,可能发生OOM导致宕机

    发现漏洞:issue2689 2019年9月2号有开发者在fastjson的仓库提了一个issue:Fastjson新版本解析到特定字符后直接触发异常. 具体问题是:字符串中包含x转义字符时可能引发O ...

最新文章

  1. C# 操作Cookie类
  2. CI中PHP写法规范(不断更新)
  3. 设计模式 命令模式 实例_根据您的命令-命令设计模式
  4. 描述一下JVM加载class文件的原理机制
  5. NO1:在Windows端安装SecureCRT来连接Linux
  6. 安装oracle需要多少内存,针对大型内存配置的 Oracle VM 安装需要更多步骤 (7195262)...
  7. windows中安装64位MySQL及连接MySQL和重置MySQL密码
  8. 职场上,领导讨厌但老板喜欢的3类员工
  9. 基础算法 -- 贪心算法
  10. 260.只出现一次的数字III
  11. 杭电acm题库 1001 统计气球问题
  12. 小米android安装包下载安装,小米应用商店安装包下载
  13. php同步今日头条,135编辑器可直接同步今日头条,新功能同时上线!
  14. 微分方程和线性代数(分离变量法开始)
  15. 微信公众平台接口程序语音天气
  16. JAVA编写PTA(10分)
  17. 偏移变色lisp_直线偏移联动 - AutoLISP/Visual LISP 编程技术 - CAD论坛 - 明经CAD社区 - Powered by Discuz!...
  18. Qt Quick 3D模块初探
  19. Duplicate File Detective(电脑重复文件清理软件)官方正式版V7.0.78.0 | 电脑怎么扫描重复文件
  20. 细细品味C#——重构的艺术

热门文章

  1. 试用memcached高可用repcached
  2. in和exists的区别与执行效率问题解析
  3. Android中Parcel的分析以及使用
  4. php mysql操作封装_php封装MySQL数据库基本操作
  5. 过采样为什么能提高信噪比
  6. 郭天祥:我的大学六年
  7. 把脉Linux上USB数据流
  8. 从源码分析DEARGUI之add_window
  9. Authentication method 'caching_sha2_password' not supported by any of the available plugins.
  10. 基于Codis的Redis集群部署