当用户在 URL 中更改 ID 时抛出错误(Yii2 和 PHP)
Throw error when user changes ID in the URL (Yii2 and PHP)
我目前正在开发一个程序,用户可以在其中更改其个人资料数据,例如名称和密码等。但是,我想限制用户更改url中的id,然后能够查找一些其他用户数据。
例如,当ID为1的用户想要修改密码时,他使用如下url:
http://localhost:8093/myapplication/web/index.php?r=user%2Fupdate&id=1
现在我想阻止用户 1 简单地将 URL 更改为
http://localhost:8093/myapplication/web/index.php?r=user%2Fupdate&id=2
并且能够使用上述 ID 操纵用户,当然除非他是管理员。我一直在使用访问规则来限制非管理员用户对某些操作的访问,但是非管理员用户也必须能够更改自己的数据。
这是我在 UserController.php:
**
* @inheritDoc
*/
public function behaviors()
{
return
[
'access' => [
'class' => AccessControl::className(),
'rules' => [
[
'allow' => true,
'actions' => ['update',],
'roles' => ['@'],
],
[
'allow' => Yii::$app->user->identity->admin,
'actions' => ['view', 'create', 'delete', 'index',],
],
],
],
'verbs' => [
'class' => VerbFilter::className(),
'actions' => [
'delete' => ['POST'],
],
],
];
}
public function actionUpdate($id)
{
$model = $this->findModel($id);
// Check if User is admin or not. If he is, allow every operation...
if ($model->admin === true) {
if ($this->request->isPost && $model->load($this->request->post()) && $model->save()) {
return $this->redirect(['update', 'id' => $model->iduser]);
}
}
// ... If the User is not admin, he can't change the URL to another ID.
elseif ($model->admin !== true) {
}
return $this->render('update', [
'model' => $model,
]);
}
我一直在查找 https://www.yiiframework.com/doc/guide/2.0/en/security-authorization 以找到有关如何实际管理它的想法,但我并没有真正理解。作为一个整体,我对 Yii2 还是很陌生,所以任何帮助、建议和解释都将不胜感激。
您可以检查登录的人是否有该 ID,如果有,他们可以这样做,如果没有,则错误。
if($model->id == Yii::$app->user->identity->id){
//Change Something
}else{
throw new ForbiddenHttpException(/*Here explanation if needed*/);
}
希望能帮到你
我目前正在开发一个程序,用户可以在其中更改其个人资料数据,例如名称和密码等。但是,我想限制用户更改url中的id,然后能够查找一些其他用户数据。
例如,当ID为1的用户想要修改密码时,他使用如下url:
http://localhost:8093/myapplication/web/index.php?r=user%2Fupdate&id=1
现在我想阻止用户 1 简单地将 URL 更改为
http://localhost:8093/myapplication/web/index.php?r=user%2Fupdate&id=2
并且能够使用上述 ID 操纵用户,当然除非他是管理员。我一直在使用访问规则来限制非管理员用户对某些操作的访问,但是非管理员用户也必须能够更改自己的数据。
这是我在 UserController.php:
**
* @inheritDoc
*/
public function behaviors()
{
return
[
'access' => [
'class' => AccessControl::className(),
'rules' => [
[
'allow' => true,
'actions' => ['update',],
'roles' => ['@'],
],
[
'allow' => Yii::$app->user->identity->admin,
'actions' => ['view', 'create', 'delete', 'index',],
],
],
],
'verbs' => [
'class' => VerbFilter::className(),
'actions' => [
'delete' => ['POST'],
],
],
];
}
public function actionUpdate($id)
{
$model = $this->findModel($id);
// Check if User is admin or not. If he is, allow every operation...
if ($model->admin === true) {
if ($this->request->isPost && $model->load($this->request->post()) && $model->save()) {
return $this->redirect(['update', 'id' => $model->iduser]);
}
}
// ... If the User is not admin, he can't change the URL to another ID.
elseif ($model->admin !== true) {
}
return $this->render('update', [
'model' => $model,
]);
}
我一直在查找 https://www.yiiframework.com/doc/guide/2.0/en/security-authorization 以找到有关如何实际管理它的想法,但我并没有真正理解。作为一个整体,我对 Yii2 还是很陌生,所以任何帮助、建议和解释都将不胜感激。
您可以检查登录的人是否有该 ID,如果有,他们可以这样做,如果没有,则错误。
if($model->id == Yii::$app->user->identity->id){
//Change Something
}else{
throw new ForbiddenHttpException(/*Here explanation if needed*/);
}
希望能帮到你