问题描述:
当开启个人存储时能显示没有权限的文件,比如通过访问域名://index.php?mod=explorer#home&fid=fid值,然后浏览器访问域名/index.php?mod=explorer&op=explorerfile&do=filelist&sid=f-fid值,服务器就会返回一些没有权限的文件。
通过代码查看是因为没有检查fid值是否存在和成员是否有权限访问群组造成的,系统将我的网盘、文件夹、群组以fid值来区分的,所以当输入对应的fid值就会读取对应的文件。
fid值:
可以在dzz_folder表中查看
修复方法:
修复解释:
在查询当前文件夹信息前先检查是否存在fid值,然后在判断是否是群组,如果是群组就判断是否有权限。
文件:\dzz\explorer\explorerfile.php
原代码:
if ($prex == 'f') {
$arr = array();
//查询当前文件夹信息
if ($folder = C::t('folder')->fetch_by_fid($id)) {
$folder['disp'] = $disp = intval($_GET['disp']) ? intval($_GET['disp']) : intval($folder['disp']);//文件排序
$folder['iconview'] = (isset($_GET['iconview']) ? intval($_GET['iconview']) : intval($folder['iconview']));//排列方式
$keyword = isset($_GET['keyword']) ? urldecode($_GET['keyword']) : '';
$conditions = array();
if($keyword){
$conditions['name'] = array($keyword,'like','and');
}
$asc = isset($_GET['asc'])?intval($_GET['asc']):1;
$order = $asc > 0 ? 'ASC' : "DESC";
switch ($disp) {
case 0:
$orderby = 'name';
break;
case 1:
$orderby = 'size';
break;
case 2:
$orderby = array('type', 'ext');
break;
case 3:
$orderby = 'dateline';
break;
}
$folder['perm'] = perm_check::getPerm($folder['fid']);//获取文件权限
$data = C::t('resources')->fetch_all_by_pfid($folder['fid'], $conditions, $perpage, $orderby, $order, $start);//查询文件信息
$folderdata[$folder['fid']] = $folder;//文件夹信息
}
}修改后的代码:
if ($prex == 'f') {
$arr = array();
//查询当前文件夹信息
if (C::t('folder')->fetch($id) && $folder = C::t('folder')->fetch_by_fid($id)) {
if ($folder['gid']) {
$uid = $_G['uid'];
$gid = $folder['gid'];
//群组信息
if(!$group = C::t('organization')->fetch($gid)){
$mqx='1';
}
//获取群组成员权限
$perm = C::t('organization_admin')->chk_memberperm($gid,$uid);
//判断群组是否开启,如果未开启(共享目录)并且不是管理员不能访问
if(!$group['diron'] && !$perm) {
$mqx='1';
}
//判断是否有权限访问群组,如果不是管理员权限(主要针对系统管理员和上级管理员),并且非成员
if(!$perm && !C::t('organization')->ismember($gid,$uid,false)) {
$mqx='1';
}
}
if (!$mqx) {
$folder['disp'] = $disp = intval($_GET['disp']) ? intval($_GET['disp']) : intval($folder['disp']);//文件排序
$folder['iconview'] = (isset($_GET['iconview']) ? intval($_GET['iconview']) : intval($folder['iconview']));//排列方式
$keyword = isset($_GET['keyword']) ? urldecode($_GET['keyword']) : '';
$conditions = array();
if($keyword){
$conditions['name'] = array($keyword,'like','and');
}
$asc = isset($_GET['asc'])?intval($_GET['asc']):1;
$order = $asc > 0 ? 'ASC' : "DESC";
switch ($disp) {
case 0:
$orderby = 'name';
break;
case 1:
$orderby = 'size';
break;
case 2:
$orderby = array('type', 'ext');
break;
case 3:
$orderby = 'dateline';
break;
}
$folder['perm'] = perm_check::getPerm($folder['fid']);//获取文件权限
$data = C::t('resources')->fetch_all_by_pfid($folder['fid'], $conditions, $perpage, $orderby, $order, $start);//查询文件信息
$folderdata[$folder['fid']] = $folder;//文件夹信息
}
}
}
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
