- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我有一个包含列的表格:
最后 4 列是访问级别(用户、支持、帐户和管理员)
这是我用来检查权限的代码:
$permission_sql="SELECT * from admin_permissions where page_name = '".$_SERVER["REQUEST_URI"]."' ";
$permission_rs=mysql_query($permission_sql,$conn);
if(mysql_num_rows($permission_rs) == 0)
{
echo '<h2 align="center">An Error has occurred!</h2>';
exit();
}
else
{
$permission_result=mysql_fetch_array($permission_rs);
if($usertype_user != $permission_result["level_user"])
{
echo '<h2 align="center">Access Denied</h2>';
echo '<h2 align="center">Please contact your administrator quoting \'Permission Error\' and number \''.$permission_result["sequence"].'\'</h2>';
exit();
}
if($usertype_support != $permission_result["level_support"])
{
echo '<h2 align="center">Access Denied</h2>';
echo '<h2 align="center">Please contact your administrator quoting \'Permission Error\' and number \''.$permission_result["sequence"].'\'</h2>';
exit();
}
if($usertype_admin != $permission_result["level_admin"])
{
echo '<h2 align="center">Access Denied</h2>';
echo '<h2 align="center">Please contact your administrator quoting \'Permission Error\' and number \''.$permission_result["sequence"].'\'</h2>';
exit();
}
if($usertype_accounts != $permission_result["level_accounts"])
{
echo '<h2 align="center">Access Denied</h2>';
echo '<h2 align="center">Please contact your administrator quoting \'Permission Error\' and number \''.$permission_result["sequence"].'\'</h2>';
exit();
}
}
我正在访问:/admin/index.php 所以我的查询是说
select * from admin_permissions where page_name = '/admin/index.php'
然后我的 if 语句运行,我登录的用户 $usertype_admin
设置为“yes”并且 $permission_result["level_admin"]
等于 ' yes' 但它显示访问被拒绝的错误,这不应该像 $usertype_admin 那样 == $permission_result["level_admin"]
我做错了什么?
最佳答案
虽然我在下面的第二部分提出了一个建议,但她根据更新的问题/信息解释了“为什么”代码不起作用。
Then my if statements run and the user i am logged in as has $usertype_admin set as 'yes' and $permission_result["level_admin"] is equal to 'yes' but its displaying the Access denied error which shouldn't be as $usertype_admin does == $permission_result["level_admin"]
这是因为 if any if
分支为真时将显示错误消息并调用 exit
- 请注意每个案例的条件 !=
。想象一下这个数据:
(permission) $user database $user != database
------------ ------ -------- -----------------
user yes no TRUE
support yes no TRUE
admin yes yes FALSE
accounts yes no TRUE
那么可以看出,即使用户是管理员(例如$user(user)
是'yes'),页面只是“请求”管理员权限,授权将失败,因为 $user(user)
为“yes”,而 database(user)
为“no”。糟糕。
这是一种方法,仅当在数据库中设置为非“否”时才需要匹配权限:
function hasAllPermissions ($permissions) {
// Note the use of a NEGATIVE selector on the database value
if($permission_result["level_admin"] != 'no'
&& $usertype_admin != $permission_result["level_admin"]) {
// Only here if a permission is set OTHER than 'no' and it does
// not equal the currently assigned user permission.
return FALSE;
}
// .. the other checks
// If we haven't rejected yet, the the database either asks for
// no permissions or we pass all permission checks.
return TRUE;
}
// In check:
if (!hasAllPermissions($permission_result)) {
// display warning and exist
}
或者,也许我们想要相反的结果:
function hasAnyPermission ($permissions) {
// Note the use of a POSITIVE selector on the database value
if($permissions["level_admin"] != 'no'
&& $usertype_admin == $permissions["level_admin"]) {
// We matched, so accept as having permission and return to
// avoid the additional checks.
return TRUE;
}
// .. the others checks
// And if nothing succeeded in matching, then we fail.
return FALSE;
}
// In check:
if (!hasAnyPermission($permission_result)) {
// display warning and exit
}
请注意这两种形式几乎相同,除了测试和返回结果的反转。
除了重做整个模式(我也推荐)之外,我建议进行一些更改:
$usertype_xyx
使用数组,这样 $usertype["xyz"]
镜像 $permission_result["xyz"]
并且可以传递给适当的功能(以下是为解决原始问题而写的,我觉得它仍然有值(value)。)
SQL 旨在沿行展开,而不是列 - 列名应该不包含信息。
当使用面向列的方法时,您必须添加对每个列名的支持并赋予其含义(请参阅“列名不应包含信息”)。虽然这可以基于启发式方法和读取动态 列形状(例如从 SELECT *
)来完成,但我建议不要采用这种方法。
相反,对于具有基于角色的权限的数据库架构,以下结构可能更合适。
Users
- Username
Pages
- PageTitle
Roles
- RoleName
Users_Roles -- Granted Roles
- FK Users
- FK Roles
Pages_Roles -- Required (or Denied) Roles
- FK Pages
- FK Roles
然后,给定一个函数hasAllRequiredPermissions($user, $page)
,就可以构建一个查询,该查询将使用上述表格来确定特定用途是否有所有 查看页面所需的权限和添加新角色时不需要更新 的功能。这是因为信息存在于行中,而不是列中。
此外,上述关系允许轻松扩展模型以允许诸如“如果用户具有角色则允许访问”和“如果用户具有角色则拒绝访问”之类的事情.
此外,不使用占位符是一个问题,使用$_SERVER["REQUEST_URI"]
发布的查询可能会被利用。确保在编写新的身份验证代码时使用占位符。
关于来自数据库的 PHP 权限级别,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/20255001/
我的问题是如何在 python 中创建一个简单的数据库。我的例子是: User = { 'Name' : {'Firstname', 'Lastname'}, 'Address' : {'Street
我需要创建一个与远程数据库链接的应用程序! mysql 是最好的解决方案吗? Sqlite 是唯一的本地解决方案吗? 我使用下面的方法,我想知道它是否是最好的方法! NSString *evento
给定两台 MySQL 服务器,一台本地,一台远程。两者都有一个包含表 bohica 的数据库 foobar。本地服务器定义了用户 'myadmin'@'%' 和 'myadmin'@'localhos
我有以下灵活的搜索查询 Select {vt:code},{vt:productcode},{vw:code},{vw:productcode} from {abcd AS vt JOIN wxyz
好吧,我的电脑开始运行有点缓慢,所以我重置了 Windows,保留了我的文件。因为我的大脑还没有打开,所以我忘记事先备份我的 MySQL 数据库。我仍然拥有所有原始文件,因此我实际上仍然拥有数据库,但
如何将我的 Access 数据库 (.accdb) 转换为 SQLite 数据库 (.sqlite)? 请,任何帮助将不胜感激。 最佳答案 1)如果要转换 db 的结构,则应使用任何 DB 建模工具:
系统检查发现了一些问题: 警告:?:(mysql.W002)未为数据库连接“默认”设置 MySQL 严格模式 提示:MySQL 的严格模式通过将警告升级为错误来修复 MySQL 中的许多数据完整性问题
系统检查发现了一些问题: 警告:?:(mysql.W002)未为数据库连接“默认”设置 MySQL 严格模式 提示:MySQL 的严格模式通过将警告升级为错误来修复 MySQL 中的许多数据完整性问题
我想在相同的 phonegap 应用程序中使用 android 数据库。 更多说明: 我创建了 phonegap 应用程序,但 phonegap 应用程序不支持服务,所以我们已经在 java 中为 a
Time Tracker function clock() { var mytime = new Date(); var seconds
我需要在现有项目上实现一些事件的显示。我无法更改数据库结构。 在我的 Controller 中,我(从 ajax 请求)传递了一个时间戳,并且我需要显示之前的 8 个事件。因此,如果时间戳是(转换后)
我有一个可以收集和显示各种测量值的产品(不会详细介绍)。正如人们所期望的那样,显示部分是一个数据库+建立在其之上的网站(使用 Symfony)。 但是,我们可能还会创建一个 API 来向第三方公开数据
我们将 SQL Server 从 Azure VM 迁移到 Azure SQL 数据库。 Azure VM 为 DS2_V2、2 核、7GB RAM、最大 6400 IOPS Azure SQL 数据
我正在开发一个使用 MongoDB 数据库的程序,但我想问在通过 Java 执行 SQL 时是否可以使用内部数据库进行测试,例如 H2? 最佳答案 你可以尝试使用Testcontainers Test
已关闭。此问题不符合Stack Overflow guidelines 。目前不接受答案。 已关闭 9 年前。 此问题似乎与 a specific programming problem, a sof
我正在尝试使用 MSI 身份验证(无需用户名和密码)从 Azure 机器学习服务连接 Azure SQL 数据库。 我正在尝试在 Azure 机器学习服务上建立机器学习模型,目的是我需要数据,这就是我
我在我的 MySQL 数据库中使用这个查询来查找 my_column 不为空的所有行: SELECT * FROM my_table WHERE my_column != ""; 不幸的是,许多行在
我有那个基地:http://sqlfiddle.com/#!2/e5a24/2这是 WordPress 默认模式的简写。我已经删除了该示例不需要的字段。 如您所见,我的结果是“类别 1”的两倍。我喜欢
我有一张这样的 table : mysql> select * from users; +--------+----------+------------+-----------+ | userid
我有表: CREATE TABLE IF NOT EXISTS `category` ( `id` int(11) NOT NULL, `name` varchar(255) NOT NULL
我是一名优秀的程序员,十分优秀!