一个简单的留言板功能,用户登录后,要编辑自己的留言,我是通过
$sql="select * from notepad where id='".$_GET['id']."'";
来选择到这条留言进行编辑,编辑页面的URL是http://xxxx/edit_message.php?id=100这种形式的,
问题来了:这种情况下现在我只要在URL上改下id,比如把id=100改成id=80就能编辑到别人的留言了,
如何设置权限只能编辑自己的留言?
$sql="select * from notepad where id='".$_GET['id']."'";
来选择到这条留言进行编辑,编辑页面的URL是http://xxxx/edit_message.php?id=100这种形式的,
问题来了:这种情况下现在我只要在URL上改下id,比如把id=100改成id=80就能编辑到别人的留言了,
如何设置权限只能编辑自己的留言?
关键是修改之后提交时sql语句where条件里要加上传入的id 用户通过修改id来越权是改不成数据库的 这不就行啦