来自数据库的PHP权限级别

时间:2013-11-27 23:17:17

标签: php mysql sql

我有一个包含列的表:

  1. 序列
  2. PAGE_NAME
  3. level_user
  4. level_support
  5. level_accounts
  6. level_admin

    7. 最后4列是访问级别(用户,支持,帐户和管理员)

    这是我用来检查权限的代码:

    $permission_sql="SELECT * from admin_permissions where page_name = '".$_SERVER["REQUEST_URI"]."' ";
$permission_rs=mysql_query($permission_sql,$conn);
if(mysql_num_rows($permission_rs) == 0)
{
    echo '<h2 align="center">An Error has occurred!</h2>';
    exit();
}
else
{
    $permission_result=mysql_fetch_array($permission_rs);
    if($usertype_user != $permission_result["level_user"])
    {
        echo '<h2 align="center">Access Denied</h2>';
        echo '<h2 align="center">Please contact your administrator quoting \'Permission Error\' and number \''.$permission_result["sequence"].'\'</h2>';
        exit();
    }
    if($usertype_support != $permission_result["level_support"])
    {
        echo '<h2 align="center">Access Denied</h2>';
        echo '<h2 align="center">Please contact your administrator quoting \'Permission Error\' and number \''.$permission_result["sequence"].'\'</h2>';
        exit();
    }
    if($usertype_admin != $permission_result["level_admin"])
    {
        echo '<h2 align="center">Access Denied</h2>';
        echo '<h2 align="center">Please contact your administrator quoting \'Permission Error\' and number \''.$permission_result["sequence"].'\'</h2>';
        exit();
    }
    if($usertype_accounts != $permission_result["level_accounts"])
    {
        echo '<h2 align="center">Access Denied</h2>';
        echo '<h2 align="center">Please contact your administrator quoting \'Permission Error\' and number \''.$permission_result["sequence"].'\'</h2>';
        exit();
    }
}

    我正在访问:/admin/index.php所以我的查询是

    从admin_permissions中选择*,其中page_name ='/ admin / index.php'

    然后我的if语句运行,我登录的用户将$usertype_admin设置为'yes'而$permission_result["level_admin"]等于'yes'但是它显示了Access denied错误,该错误不应该如$ usertype_admin一样== $ permission_result [“level_admin”]

    我做错了什么?

3 个答案:

答案 0 :(得分:1)

虽然我在第二部分中提出了以下建议,但她根据更新的问题/信息解释了“为什么”代码不起作用。

  

然后我的if语句运行,我登录的用户将$ usertype_admin设置为'yes',$ permission_result [“level_admin”]等于'yes',但是它显示了Access denied错误,不应该是as $ usertype_admin = $ $ permission_result [“level_admin”]

这是因为如果if分支中的任何为真,则会显示错误消息并调用exit - 请注意每个案例的条件{{ 1}}。想象一下这个数据:

!=

然后可以看出,即使用户是管理员(例如(permission) $user database $user != database ------------ ------ -------- ----------------- user yes no TRUE support yes no TRUE admin yes yes FALSE accounts yes no TRUE 是'是'),并且页面仅“请求”管理员权限,授权也会失败,因为{{1 }是'是'而$user(user)是'否'。糟糕。

这种方法只有在数据库中设置为非'''时才需要匹配权限

$user(user)

或者,也许我们想要反过来:

database(user)

注意两种形式几乎完全相同,除了测试和返回结果的反转。

我会推荐一些更改,除了重做整个架构(我也建议):

  • 明确定义与权限相关的业务规则
  • 使用函数 - 用于条件逻辑,以及用于显示警告消息
  • 使用function hasAllPermissions ($permissions) { // Note the use of a NEGATIVE selector on the database value if($permission_result["level_admin"] != 'no' && $usertype_admin != $permission_result["level_admin"]) { // Only here if a permission is set OTHER than 'no' and it does // not equal the currently assigned user permission. return FALSE; } // .. the other checks // If we haven't rejected yet, the the database either asks for // no permissions or we pass all permission checks. return TRUE; } // In check: if (!hasAllPermissions($permission_result)) { // display warning and exist } 数组,使function hasAnyPermission ($permissions) { // Note the use of a POSITIVE selector on the database value if($permissions["level_admin"] != 'no' && $usertype_admin == $permissions["level_admin"]) { // We matched, so accept as having permission and return to // avoid the additional checks. return TRUE; } // .. the others checks // And if nothing succeeded in matching, then we fail. return FALSE; } // In check: if (!hasAnyPermission($permission_result)) { // display warning and exit } 镜像$usertype_xyx并传递给相应的函数

(以下内容是为解决原始问题而编写的,我觉得它仍然有用。)

SQL旨在沿扩展,而不是 - 列名称​​不包含信息

使用面向列的方法时,您必须添加对每个列名称的支持并赋予其含义(请参阅“列名称不应包含信息”)。虽然这可以基于启发式和阅读动态列形状(例如来自$usertype["xyz"])来完成,但我建议不要采用这种方法。

相反,对于具有基于角色的权限的数据库模式,以下结构可能是更合适的开始。

$permission_result["xyz"]

然后,给定函数SELECT *,可以构造一个查询,该查询将使用上面的表来确定特定用户是否具有 all 所需的查看页面的权限,添加新角色时,函数不需要更新。这是因为信息存在于行中 - 而不是列。

此外,上述关系允许轻松扩展模型,以允许诸如“如果用户具有角色则允许允许访问”和“如果用户具有角色则拒绝访问”之类的内容

此外,不使用占位符是问题,可能会利用Users - Username Pages - PageTitle Roles - RoleName Users_Roles -- Granted Roles - FK Users - FK Roles Pages_Roles -- Required (or Denied) Roles - FK Pages - FK Roles 发布的查询。编写新的身份验证代码时,请务必使用占位符

答案 1 :(得分:-1)

你可以有一个名为permission_table的表,它会存储每个用户可以访问的页面,不允许访问的页面不会出现在这里

+---------------+--------------+----------+
| permission_id |     page     | user_id  |
+---------------+--------------+----------+
|             1 | home.php     |       33 |
|             2 | accounts.php |        2 |
|             3 | support.php  |       67 |
+---------------+--------------+----------+

然后每个页面的查询将是

SELECT * from permissions_table where user_id = :user_id AND page = :page

您将从存储的会话中获取当前登录用户的ID,例如$ _SESSION ['user_id']。您甚至可以在会话数组中存储允许访问的页面以保存数据库查询

您应该使用PDO而不是使用depretiated“mysql_”。完整的代码将是...... 

session_start(); //This is needed when working with PHP sessions

//The mysql database details
$dbhost = 'your db host';
$dbuser = 'your db username';
$dbpass = 'your db password';
$dbname = 'your db name';

//PDO connection
try {
    $con = new PDO("mysql:host=$dbhost;dbname=$dbname", $dbuser, $dbpass);
    $con->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
} catch(PDOException $e) {
    echo 'ERROR: ' . $e->getMessage();
}

//Permissions query
$stmt = $con->prepare('SELECT * from permissions_table WHERE user_id = :user_id AND page = :page');
$stmt->bindParam(':staff_id', $_SESSION['user_id']);
$stmt->bindParam(':page', basename($_SERVER['PHP_SELF']));

//If PDO query executes and returns 1 row!
if($stmt->execute() && $stmt->rowCount() === 1){
    echo 'Permission granted'!
    } else { die('Permission denied!');
    }

最好的部分是所有这个脚本都可以在一个单独的php文件中,然后将其作为一个需求包含在每个页面的顶部...     require('permissions.php');

因此,如果要更改代码,则只需在permissions.php中更改一次

或者,如果您只想要4种不同的权限类型,而不是每页都要执行权限。您可以将页面列更改为“键入”。并存储“管理员”,“支持”等内容。然后在每个页面的顶部放置这样的内容...... 

$permissiontype = 'Support';
require ('permissions.php');

然后更改查询和PDO绑定以获取变量而不是当前页面

$stmt->bindParam(':type', $permissiontype);

答案 2 :(得分:-1)

“mysql_fetch_array”返回该行的零索引数组。如果希望列名是行中的索引,则应使用“mysql_fetch_assoc”。有关使用该功能的更多信息,请参阅此页面:http://us1.php.net/manual/en/function.mysql-fetch-assoc.php

基本上,你要回来了:

$permission_result[0] = whatever "sequence" is
$permission_result[1] = the page name that you asked for
$permission_result[2] = value of level_user
$permission_result[3] = value of level_support
$permission_result[4] = value of level_accounts
$permission_result[5] = value of level_admin

所以,当你要求

$permission_result["level_user"]

事实证明“$ permission_result”没有名为“level_user”的元素,因此它会给你“null”作为结果。我很确定你的用户权限变量是布尔值(true / false)或字符(例如'y'和'n'),它们与你通过检查得到的空值不匹配

$permission_result["level_user"]

将“mysql_fetch_array”切换为“mysql_fetch_assoc”,你可能会没事的。

相关问题
最新问题