Laravel
话题列表 社区 Wiki 优质外文 招聘求职 Laravel 实战教程 社区文档
登录
注册

laravel-admin,用户登录后只能编辑自己的数据。

问答 / 277 / 15 / 创建于 2年前

1. 运行环境

1). 当前使用的 Laravel8?

2). 当前使用的 laravel-admin1.8 版本

PHP 版本:7.3

项目使用的laravel-admin1.8,列表中我使用了where条件只能查询出自己的数据,但是在编辑数据时,我尝试通过修改链接中的ID果然可以跳转到别人的数据,这样安全隐患十分大,我尝试写了一个简单验证,发现出现了报错,想问下各位大佬有没有更好的解决办法?万分感谢!

简单的验证:
laravel-admin,用户登录后只能编辑自己的数据。

所报错误:

laravel-admin,用户登录后只能编辑自己的数据。

laravel-admin,用户登录后只能编辑自己的数据。

laravel-admin form 编辑
sunxbiao
7 声望
暂无个人描述~
《L04 微信小程序从零到发布》
《L04 微信小程序从零到发布》
从小程序个人账户申请开始,带你一步步进行开发一个微信小程序,直到提交微信控制台上线发布。
《L02 从零构建论坛系统》
《L02 从零构建论坛系统》
以构建论坛项目 LaraBBS 为线索,展开对 Laravel 框架的全面学习。应用程序架构思路贴近 Laravel 框架的设计哲学。
MArtian
版主 3.1k 声望
最佳答案

你找错地方了,AdminController 控制器本身就有 edit 方法,你不应该在 form 方法中添加判断

public function edit($id, Content $content)
    {
        if($id !== Admin::user()->id)
        {
            abort(403, '非法访问');
        }
        return $content
            ->translation($this->translation())
            ->title($this->title())
            ->description($this->description()['edit'] ?? trans('admin.edit'))
            ->body($this->form()->edit($id));
    }

覆写一下 edit 方法,搞定收工

2年前 评论
诺大的院子 2年前
数据id跟用户id不是一个东西啊,怎么能用来判断权限
MArtian (作者) 2年前
@诺大的院子 ??? 怎么不是一个东西
myhui0926 2年前
@诺大的院子 SomeModel::find($id)->user_id !== Admin::user()->id
诺大的院子 2年前

@MArtian 如果修改的不是用户信息,你这个edit方法的id参数代表什么?

MArtian (作者) 2年前
@诺大的院子 所以我说了覆写啊,又不是修改 AdminController 的方法
MArtian (作者) 2年前

@诺大的院子 一般用户管理不都是 UserController 控制器吗,UserController 继承自 AdminControllereditAdminController 的方法,在UserController 覆写一下有什么问题

sunxbiao (楼主) 2年前
这不是天才这是什么? 我咋没想到,鼓掌鼓掌鼓掌
MArtian (作者) 2年前
@sunxbiao :laughing: :laughing: :laughing:
讨论数量: 15
排序:
时间 投票
勇敢的心
见习助教 800 声望

其实我也考虑过这种问题,但是实际需求中没有遇到这样的需求,如果遇到我觉得用作用域处理好一点

2年前 评论
Su
见习助教 305 声望

加上权限就行了

2年前 评论
deatil
见习助教 680 声望

报错栈没有,没法确认是哪的问题

2年前 评论
it_cwc
课程读者 111 声望

非自己内容不可编辑吗?

if ( Admin::user()->id != $from->user_id ) {
...
}
2年前 评论
22
379 声望

我是在所有需要区分用户的地方加上了用户id的判断

2年前 评论
MArtian
版主 3.1k 声望

你找错地方了,AdminController 控制器本身就有 edit 方法,你不应该在 form 方法中添加判断

public function edit($id, Content $content)
    {
        if($id !== Admin::user()->id)
        {
            abort(403, '非法访问');
        }
        return $content
            ->translation($this->translation())
            ->title($this->title())
            ->description($this->description()['edit'] ?? trans('admin.edit'))
            ->body($this->form()->edit($id));
    }

覆写一下 edit 方法,搞定收工

2年前 评论
诺大的院子 2年前
数据id跟用户id不是一个东西啊,怎么能用来判断权限
MArtian (作者) 2年前
@诺大的院子 ??? 怎么不是一个东西
myhui0926 2年前
@诺大的院子 SomeModel::find($id)->user_id !== Admin::user()->id
诺大的院子 2年前

@MArtian 如果修改的不是用户信息,你这个edit方法的id参数代表什么?

MArtian (作者) 2年前
@诺大的院子 所以我说了覆写啊,又不是修改 AdminController 的方法
MArtian (作者) 2年前

@诺大的院子 一般用户管理不都是 UserController 控制器吗,UserController 继承自 AdminControllereditAdminController 的方法,在UserController 覆写一下有什么问题

sunxbiao (楼主) 2年前
这不是天才这是什么? 我咋没想到,鼓掌鼓掌鼓掌
MArtian (作者) 2年前
@sunxbiao :laughing: :laughing: :laughing:
Alone88
99 声望

写个拦截器,加到路由中间件里, 用户授权《Laravel 8 中文文档》

2年前 评论

讨论应以学习和精进为目的。请勿发布不友善或者负能量的内容,与人为善,比聪明更重要!
支持 MD 帮助
sunxbiao 7 声望
社区赞助商
成为赞助商

关于 LearnKu

LearnKu 是终身编程者的修道场
做最专业、严肃的技术论坛
LearnKu 诞生的故事

资源推荐

  • 《社区使用指南》
  • 《文档撰写指南》
  • 《LearnKu 社区规范》
  • 《提问的智慧》

    • 服务提供商

    其他信息

  • 成为版主
  • 所有测验
  • 联系站长(反馈建议)

    • 粤ICP备18099781号-6 | 粤公网安备 44030502004330号 | 违法和不良信息举报

    Summer 设计和编码

    请登录

    内容举报
    匿名举报,为防止滥用,仅管理员可见举报者。

    我要举报该,理由是:

    取消