Home Sign Up Sign In
xinzhi
V2EX  ›  WordPress

PHP: 怎样在后台替换author参数,防止信息泄露?

  •   
  •   xinzhi · Feb 19, 2011 · 5151 views
    This topic created in 5590 days ago, the information mentioned may be changed or developed.
    我想是,只能看到自己的文档,url中upload.php没有author的query,就加上自己的ID,当点击别人的ID,也要替换成自己的。

    很久没看的WP代码,改动蛮大找不着北了。现在处理的多用户后台,文章部分WP的权限处理很完善,附件部分就显得不够完整,插件作用不到,只能改改系统代码了。

    我写的代码大概是这样,PHP语法和WP函数都不太熟悉:

    https://gist.github.com/835087
    望指正!
  • WP
  • author
  • PHP
    4 replies    1970-01-01 08:00:00 +08:00
    xinzhi
        1
    xinzhi  
    OP
       Feb 19, 2011
    媒体库页面,是没有author这个过滤选项的,一般不会附加到URL上,但手动加上,的确有效。

    数据库查询语句没有找到,只是在145行SQL语句AND前加AND post_author = $current_user->ID发现有点效果。
    manhere
        2
    manhere  
       Feb 19, 2011
    if的条件很诡异
    benzhe
        3
    benzhe  
       Feb 20, 2011
    "只能看到自己的文档",这样的话没必要用判断了吧,直接执行中间两句应该不会报错。按照这种说法,可以直接在new post前只一句author = XXX; 来固定author
    xinzhi
        4
    xinzhi  
    OP
       Feb 20, 2011
    @benzhe 是upload部分的,不是post。是上传的附件,不是文章。
    About   ·   Help   ·   Advertise   ·   Blog   ·   API   ·   FAQ   ·   Solana   ·   5910 Online   Highest 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 52ms · UTC 02:28 · PVG 10:28 · LAX 19:28 · JFK 22:28
    ♥ Do have faith in what you're doing.