比如有2个用户,A用户是超级管理员,拥有给用户添加积分的权限(index/add 是显示添加积分的模版,index/addHandle是添加积分的处理)。
B用户是普通后台管理,没有添加用户积分的权限。
权限验证的时候只做index/add的验证,不做index/addHandle的验证,现在B用户如果在任意后台的提交页面修改了HTML的本地代码然后提交到index/addHandle,假如字段都正确的话B用户不就操作成功了吗?
是不是这样还是我理解错了?
最佳答案
比如有2个用户,A用户是超级管理员,拥有给用户添加积分的权限(index/add 是显示添加积分的模版,index/addHandle是添加积分的处理)。
B用户是普通后台管理,没有添加用户积分的权限。
权限验证的时候只做index/add的验证,不做index/addHandle的验证,现在B用户如果在任意后台的提交页面修改了HTML的本地代码然后提交到index/addHandle,假如字段都正确的话B用户不就操作成功了吗?
是不是这样还是我理解错了?