我目前正在编写基于 YII 的应用程序。
我对索引的操作:
public function actionIndex() {
$data = array();
$data['server'] = Server::model()->findByPk(1);
$data['dataProvider'] = new CActiveDataProvider('ServerUserPermission', array('criteria' => array('condition' => 'serverID=:id', 'params' => array(':id' => 1))));
$this->render('index', $data);
}
我的 ajax 动作:
public function actionAddPermission($server) {
if(Util::checkServerPower($server, Permission::MODIFY_SERVER)) {
$perm = new ServerUserPermission;
$perm->userID = 1;
$perm->serverID = $server;
$perm->power = 10;
try {
if ($perm->save()) {
echo "OK";
} else {
echo Util::print_r($perm->getErrors());
}
} catch (Exception $e) {
echo 'Critical Error Code: ' . $e->getCode();
}
} else {
echo 'No Permissions';
}
}
我的视图使用按钮链接到 addPermission 操作:
echo CHtml::ajaxButton("Insert New Player", array('addPermission', 'server' => $server->serverID), array('success'=>'refresh'));
我的函数 Util::checkServerPower(...) 检查应用程序的当前用户。结果:YII 中的 Ajax 请求由来宾 AuthWeb 用户处理,但我需要检查用户是否真的被允许添加权限。我目前想不出一个安全的解决方案来保护其他客人发送的恶意数据。是否有可能获得 Ajax 调用的(服务器端)用户 ID?
无论如何真诚地感谢