3.7. 权限控制
说明
现在的应用存在两个巨大的安全隐患:
- 未登录用户可以访问
edit
和update
动作,如果你退出登录,以游客身份访问 larabbs.test/users/1/edit :
- 登录用户可以更新其它用户的个人信息,如果我们再次注册一个用户:
数据库里查看到我们新注册的用户 aufree
,ID 为 2:
此时如果再次访问 larabbs.test/users/1/edit :
现在的应用存在两个巨大的安全隐患:
edit
和 update
动作,如果你退出登录,以游客身份访问 larabbs.test/users/1/edit :数据库里查看到我们新注册的用户 aufree
,ID 为 2:
此时如果再次访问 larabbs.test/users/1/edit :