PHPCMS發佈頁面的欄目選擇問題_PHP教程

在PHPCMS的發佈頁面中有個BUG，即使編輯無許可權訪問某個欄目，但是也還都可以在發佈頁面的欄目下拉式功能表中選擇該欄目，並可以將文章發布到該欄目下。這個BUG如何修複呢？我們先來看看發佈頁面的下拉式功能表是如何產生的。

發佈頁面的模板檔案是在 /admin/templates/content_add.tpl.php，其表單是通過下面語句輸出的：

if(is_array($forminfos['base'])){foreach($forminfos['base'] as $field=>$info){}}

線索找到了，就是 $forminfos 這個數組。這個數組實在 /admin/content.inc.php 這個檔案中產生的，我們看看產生代碼：

$data['catid'] = $catid;$data['template'] = isset($template_show) ? $template_show :$MODEL[$modelid]['template_show'];require CACHE_MODEL_PATH.'content_form.class.php';$content_form = new content_form($modelid);$forminfos = $content_form->get($data);

把數組 $forminfos 列印出來可以發現，下拉式功能表的代碼儲存在 $forminfos['base']['catid']['form'] 中：

扶貧動態通知公告最新動向新聞愛心捐助捐助紀實愛心回饋捐款名單緊急求助協助中心友情串連對口地區新聞動態援建項目愛心捐助情系三峽新聞專區愛心捐助政策動態結對幫扶援建項目扶貧現狀扶助對象新聞動態愛心捐助扶貧項目基金簡介募捐情況基金用途賬戶情況新聞動態義工政策法規頂新聞欄頂新聞欄頂新聞欄頂新聞欄頂新聞欄  [同時發布到其他欄目]

還是投機了一把，只要把裡面的數字正則抽取出來，進行許可權驗證，沒許可權的unset掉，餘下的再組合到一起，重建 $forminfos['base']['catid']['form'] 即可：

$data['catid'] = $catid;$data['template'] = isset($template_show) ? $template_show :$MODEL[$modelid]['template_show'];require CACHE_MODEL_PATH.'content_form.class.php';$content_form = new content_form($modelid);$forminfos = $content_form->get($data);// 判斷許可權preg_match_all("//", $forminfos['base']['catid']['form'], $matches['str']);preg_match_all("/[1-9]\d/", $forminfos['base']['catid']['form'], $matches['num']);foreach($matches['num'][0] as $key=>$value){$allow_manage = $priv_role->check('catid', $matches['num'][0][$key], 'manage');if(!$allow_manage){unset($matches['num'][0][$key]);unset($matches['str'][0][$key]);}}foreach($matches['str'][0] as $key=>$value){$opstr .= $matches['str'][0][$key];}$forminfos['base']['catid']['form'] = preg_replace('//', $opstr, $forminfos['base']['catid']['form']);

投機成分很高，僅作參考。

http://www.bkjia.com/PHPjc/751688.htmlwww.bkjia.comtruehttp://www.bkjia.com/PHPjc/751688.htmlTechArticle在PHPCMS的發佈頁面中有個BUG，即使編輯無許可權訪問某個欄目，但是也還都可以在發佈頁面的欄目下拉式功能表中選擇該欄目，並可以將文章發布...

