因此,有一个Web应用程序的蓝图代码,允许不同的帐户登录以上传简单文件。但是,存在安全漏洞,允许非管理员帐户进入数据库配置和直接对象引用(通过URL篡改下载其他帐户的文件)。我被推荐了一个解决方案,我检查上传文件的所有者是否是同一个试图下载它的人。但是在春天@controller中这样做会带来一些问题。如果您查看我的get语句以获取特定文件,您会看到我获得了文件对象和帐户对象。然后我只检查名称是否与文件所有者相同。但是如何在“if”语句中“返回”控制器中的某些内容?
ID | actual_checkdate | submit_checkdate
----- | ---------- | ----------
1 | 2017-07-30 | 2017-07-31
3 | 2017-08-01 | 2017-07-31
4 | 2017-07-15 | 2017-07-15