V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
xinzhi
V2EX  ›  WordPress

PHP: 怎样在后台替换author参数,防止信息泄露?

  •  
  •   xinzhi · 2011-02-19 22:38:34 +08:00 · 4648 次点击
    这是一个创建于 5053 天前的主题,其中的信息可能已经有所发展或是发生改变。
    我想是,只能看到自己的文档,url中upload.php没有author的query,就加上自己的ID,当点击别人的ID,也要替换成自己的。

    很久没看的WP代码,改动蛮大找不着北了。现在处理的多用户后台,文章部分WP的权限处理很完善,附件部分就显得不够完整,插件作用不到,只能改改系统代码了。

    我写的代码大概是这样,PHP语法和WP函数都不太熟悉:

    https://gist.github.com/835087
    望指正!
    4 条回复    1970-01-01 08:00:00 +08:00
    xinzhi
        1
    xinzhi  
    OP
       2011-02-19 23:04:41 +08:00
    媒体库页面,是没有author这个过滤选项的,一般不会附加到URL上,但手动加上,的确有效。

    数据库查询语句没有找到,只是在145行SQL语句AND前加AND post_author = $current_user->ID发现有点效果。
    manhere
        2
    manhere  
       2011-02-19 23:36:00 +08:00
    if的条件很诡异
    benzhe
        3
    benzhe  
       2011-02-20 00:32:55 +08:00
    "只能看到自己的文档",这样的话没必要用判断了吧,直接执行中间两句应该不会报错。按照这种说法,可以直接在new post前只一句author = XXX; 来固定author
    xinzhi
        4
    xinzhi  
    OP
       2011-02-20 00:38:05 +08:00
    @benzhe 是upload部分的,不是post。是上传的附件,不是文章。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2860 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 09:13 · PVG 17:13 · LAX 01:13 · JFK 04:13
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.