PHP: 怎样在后台替换author参数,防止信息泄露?

2011-02-19 22:38:34 +08:00
 xinzhi
我想是,只能看到自己的文档,url中upload.php没有author的query,就加上自己的ID,当点击别人的ID,也要替换成自己的。

很久没看的WP代码,改动蛮大找不着北了。现在处理的多用户后台,文章部分WP的权限处理很完善,附件部分就显得不够完整,插件作用不到,只能改改系统代码了。

我写的代码大概是这样,PHP语法和WP函数都不太熟悉:
http://gist.github.com/835087
https://gist.github.com/835087
望指正!
4625 次点击
所在节点    WordPress
4 条回复
xinzhi
2011-02-19 23:04:41 +08:00
媒体库页面,是没有author这个过滤选项的,一般不会附加到URL上,但手动加上,的确有效。

数据库查询语句没有找到,只是在145行SQL语句AND前加AND post_author = $current_user->ID发现有点效果。
manhere
2011-02-19 23:36:00 +08:00
if的条件很诡异
benzhe
2011-02-20 00:32:55 +08:00
"只能看到自己的文档",这样的话没必要用判断了吧,直接执行中间两句应该不会报错。按照这种说法,可以直接在new post前只一句author = XXX; 来固定author
xinzhi
2011-02-20 00:38:05 +08:00
@benzhe 是upload部分的,不是post。是上传的附件,不是文章。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/8698

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX