根据用户的ID给用户显示不同的数据,用户根据这些数据的ID来删除,修改数据。但是在删除、修改数据的时候没有判断这个数据用户是否有权修改,是不是会形成一个很大的安全隐患?举个例子:
用户可以看见自己的帖子
用户A有1、2、3,3个帖子,实际上系统里面有1-20,20个帖子。
删除帖子的时候,根据提交的ID来删除数据。但是用户模拟POST删除不属于他的那个帖子,像这种情况怎么处理?凡是涉及到插入、删除的操作都判断用户是否有权限?比这个更复杂的操作都需要判断是否有权限?会不会太影响性能?
用户可以看见自己的帖子
用户A有1、2、3,3个帖子,实际上系统里面有1-20,20个帖子。
删除帖子的时候,根据提交的ID来删除数据。但是用户模拟POST删除不属于他的那个帖子,像这种情况怎么处理?凡是涉及到插入、删除的操作都判断用户是否有权限?比这个更复杂的操作都需要判断是否有权限?会不会太影响性能?
已搞定!