使用 Symfony sfDoctrineGuardPlugin，用户可以通过更改 url 打开实际上无法打开的页面

Question

我正在使用 Symfony 1.4，sfDoctrineGuardPlugin。

在我的后端应用程序上，用户可以通过手动更改 url 到达实际上无法到达的页面。有什么办法可以阻止它吗？

可以说，每个作者都可以正常获取自己的数据。但如果他们更改网址上的 ID，他们就可以编辑他们想要的文章。我在互联网上搜索但找不到任何解决方案？你知道一个方法吗？

多谢。

Answer 1

仅隐藏不属于特定作者的内容无法保护它们不被编辑或删除。

在后端模块中重载 executeEdit/executeUpdate/executeDelete 操作以避免未经授权的管理。

例如：

public function executeEdit(sfWebRequest $request) {
    ...
    $this->forward404Unless($this->article->belongsTo($me));
    ...
}

此外，您可以检查是否有正确的凭据。当您希望某些用户组访问某些特殊内容或其他用户的内容时，它非常有用。

希望有帮助。

Answer 2

你必须在文章和作者之间建立关系。我想已经有一个了，所以最好的方法是重写 ArticlePeer 中的 doSelect 方法来与作者核实。只需添加一个条件即可选择属于当前用户的文章。