《shop》--- 禁止FQ访问

禁止FQ访问

我们只是设置了用户可以显示的权限，但是并没有限制用户访问一些其不具备的权限，这样会出现访问漏洞

① 用户会不小心越权访问其他权限。

② 再者也可以通过手动输入控制器、操作方法路由信息进而访问本身一些不存在的权限

以上越权访问非法权限的过程就是“FQ访问”

 

解决FQ访问：

对用户访问的每个操作方法都设置过滤功能，被访问的方法必须是用户拥有的权限方法才允许访问。

为了避免开发重复的代码该访问过滤功能要在父类的__construct()构造方法里边实现

这个父类又不能是Controller,这样我们自己开发维护一个AdminController

后台所有控制器都继承新父类AdminController：