禁止FQ访问
我们只是设置了用户可以显示的权限,但是并没有限制用户访问一些其不具备的权限,这样会出现访问漏洞
① 用户会不小心越权访问其他权限。
② 再者也可以通过手动输入控制器、操作方法路由信息进而访问本身一些不存在的权限
以上越权访问非法权限的过程就是“FQ访问”
解决FQ访问:
对用户访问的每个操作方法都设置过滤功能,被访问的方法必须是用户拥有的权限方法才允许访问。
为了避免开发重复的代码该访问过滤功能要在父类的__construct()构造方法里边实现
这个父类又不能是Controller,这样我们自己开发维护一个AdminController
后台所有控制器都继承新父类AdminController: