商业源码 检验用户是否有权使用某功能的织梦函数TestPurview
首先[field:title/]就是指标题了,加上runphp='yes'就是执行里面自写的方法。你链接里面的代码有点小错误,应该这样写才是你要的。[field:title runphp='yes']if(strlen("@me")>34)@me=cn_substr("@me",34)"";else @me=@me;[/field:title]
里面的@me就是标题的值,if(strlen("@me")>34)就是判断标题是不是大于34字符(两个字符等于一个汉字),如果判断对,就截取@me 34个字符,然后再加上“”赋给原来的@me。如果没大于34字符的话就还是原来的值。
1编辑器打开plusdiyphp
2在40行左右找到此行代码:
$dede_fields=empty($dede_fields)'':trim($dede_fields);
3在这一行代码之下,加入代码,复制的话删掉代码中的空行
//增加必填字段判断
if($required!=''){
if(preg_match('/,/',$required))
{
$requireds=explode(',',$required);
foreach($requiredsas$field){
if($$field==''){
showMsg('带号的为必填内容,请正确填写','-1');
exit();
}
}
}else{
if($required==''){
showMsg('带号的为必填内容,请正确填写','-1');
exit();
}
}
}
//end
4保存完成后,在表单模版页面找到这行代码:
<formaction="/plus/diyphp"enctype="multipart/form-data"method="post">
在这行代码之下,加入代码:
<inputtype="hidden"name="required"value="数据字段名,数据字段名"/>
注意这行代码要修改下,根据你的表单所需要设置的必填项,例如设置“姓名”、“邮箱”为必填项
添加新字段--“表单提示文字”:姓名--“字段名称”:name
添加新字段--“表单提示文字”:邮箱--“字段名称”:email
此行代码应为:
<inputtype="hidden"name="required"value="name,email"/>
这样就把这两个选项设置为必填项了,如果没有填写就提交,会打开窗口提示“带号的为必填内容,请正确填写”,当然,这一句话可以改成其它的文字
网上看到另一种方法,未测试,仅作为资料收藏
js方法:
1先在要发布表单的模板上加
<scriptsrc='你的路径/jsjs'type="text/javascript"></script>
2在你自定义的路径新建文件jsjs,然后复制以下内容粘贴保存,代码:
<!--
$(document)ready(function()
{
//验证
$('complain')submit(function()
{
if($('name')val()==""){
$('name')focus();
alert("用户名不能为空!");
returnfalse;
}
if($('tel')val()=="")
{
$('tel')focus();
alert("联系电话不能为空!");
returnfalse;
}
if($('title')val()=="")
{
$('title')focus();
alert("标题不能为空!");
returnfalse;
}
if($('text')val()=="")
{
$('text')focus();
alert("具体内容不能为空!");
returnfalse;
}
})
});
-->
注:
$('complain')submit(function()//complain为自定义表单的ID,如果生成的表单没有可以自行加上,即id="complain"
if($('name')val()==""){
$('name')focus();//name为要验证表单中的ID,如想让用户名不能为空,在后台用户名的数据字段名设为name,下同
3设置好后更新就可以看到效果了
希望本文所述对大家的dedecms建站有所帮助。
函数TestPurview($n)虽然,看上去只是一个相对比较简单的函数,但是这个函数是非常非常重要的,试想一下如果一个系统中没有检验某个用
户是否有权限操作某些功能的话,那么,这个系统一定非常危险,因为,随便一个人都可以操作某个功能,例如,进入后台,删除栏目,删除数据库等,就如同一个
家四周都没有墙一样,随便什么人都可以进入,这样的家完全就是公共场合,完全没有什么安全可言,一个系统也是如此。
所以,检测系统函数就比较重要了,当然,光这个一个函数还不够,不光要检验用户的使用权限,还要检验用户密码,是不是管理员,甚至是用户登录ip等,都要检验一下,这样才可以称得上安全的系统。
本函数在“管理员登陆类”userloginclassphp里面的第一个函数就是它,返回的值是true或false,若有权限则返回trure否则返回false。
通过教程“织梦中cookie和session的应用”我们知道了,当我们登录后台后,织梦系统会把登录的用户信息写入session里面,并把session存放在/data/session文件夹里面。
因为不同的用户登录后台,产生的session是不一样的,我就在后台注册一个发布员,用户名为fby。并且,在后台定义“信息发布员”的权限如下图所示。
登录/注册后可看大图
我整理了一下“信息发布员”的权限如下:
列出授权栏目(t_AccList)
发布授权文档(a_AccNew)
列出授权文档(a_AccList)
列出我发布的文档(a_MyList)
修改我发布的文档(a_MyEdit)
删除我发布的文档(a_MyDel)
更改个人密码(sys_MdPwd)
评论管理(sys_Feedback)
管理我的上传(sys_MyUpload)
当我用fby用户名登录后,在data/session/文件夹里面,生成一个名为sess_3vtlqpg0pnlmc63pd5ai86gl16 的 session 。这个session里面的内容如下所示。
securimage_code_value|s:4:"npll";
dede_admin_id|s:1:"8";
dede_admin_type|s:1:"1";
dede_admin_channel|s:0:"";
dede_admin_name|s:3:"fby";
<font color="Blue">dede_admin_purview|s:107:"t_AccList
a_AccNew a_AccList a_MyList a_MyEdit a_MyDel sys_MdPwd sys_Feedback
sys_MyUpload plus_留言簿模块 ";</font>
dede_admin_style|s:10:"newdedecms";
复制代码
如果我们以超级管理员,也就是最高级别的身份登录后台后,我们同样得到类似的如下内容。
securimage_code_value|s:4:"2gsf";
dede_admin_id|s:1:"1";
dede_admin_type|s:2:"10";
dede_admin_channel|s:1:"0";
dede_admin_name|s:5:"admin";
<font color="Blue">dede_admin_purview|s:15:"admin_AllowAll ";</font>
dede_admin_style|s:10:"newdedecms";
复制代码
当登录后,这些是如何生成的?这个我们在上面提到了,以前的教程已经详细讲解了,其实,就是通过“管理员登陆类”userloginclassphp里面的函数来实现的,当然,不只是这个文件。
我们分析上面这些,完全就是为了函数TestPurview($n)作准备的,好了,现在我们来分析一下这个用户权限检验函数。
函数:
function TestPurview($n)
{
$rs = FALSE;
$purview = $GLOBALS['cuserLogin']->getPurview();
if(preg_match('/admin_AllowAll/i',$purview))
{
return TRUE;
}
if($n=='')
{
return TRUE;
}
if(!isset($GLOBALS['groupRanks']))
{
$GLOBALS['groupRanks'] = explode(' ',$purview);
}
$ns = explode(',',$n);
foreach($ns as $n)
{
//只要找到一个匹配的权限,即可认为用户有权访问此页面
if($n=='')
{
continue;
}
if(in_array($n,$GLOBALS['groupRanks']))
{
$rs = TRUE; break;
}
}
return $rs;
}
复制代码
通过getPurview()方法,我们从session得到了dede_admin_purview里面的值,因
为,$GLOBALS['cuserLogin']是实例化“登录类”的对像,而这个登录类的构造函数,在我们实例化时,已经把session里面的值赋
给了$this->userPurview,代码如下所示。
$this->userID = $_SESSION[$this->keepUserIDTag];
$this->userType = $_SESSION[$this->keepUserTypeTag];
$this->userChannel = $_SESSION[$this->keepUserChannelTag];
$this->userName = $_SESSION[$this->keepUserNameTag];
$this->userPurview = $_SESSION[$this->keepUserPurviewTag];
$this->adminStyle = $_SESSION[$this->keepAdminStyleTag];
复制代码
从上面代码我们就不难发现$this->userPurview=$_SESSION['dede_admin_purview'],即
t_AccList a_AccNew a_AccList a_MyList a_MyEdit a_MyDel sys_MdPwd
sys_Feedback sys_MyUpload plus_留言簿模块这些值,明白了这一点,这个TestPurview($n)就简单多了。
1、条件判断:
if(preg_match('/admin_AllowAll/i',$purview))
{
return TRUE;
}
复制代码
如果我们用的是管理员登录,那么,$_SESSION['dede_admin_purview']的值等于admin_AllowAll,返回true,所以,这句代码就是判断是不是管理登录。
2、条件判断
if($n=='')
{
return TRUE;
}
复制代码
若参数为空,直接返回true,也就是说,只要不提供功能参数,就认为是可以操作的,所以,这一点要注意了,如果你不小心,忘记写参数,那么,很可能本想过虑掉的用户结果没有过虑掉,这是非常危险的,所以,这个最好有个提示,有个对话框,这样可以提醒管理员。
3、把登录的后台的用户的权限,例如,本例子中的“信息发布员”权限$_SESSION['dede_admin_purview'],转换成数组存放到全局变量$GLOBALS['groupRanks']里面,以备下面之用。
if(!isset($GLOBALS['groupRanks']))
{
$GLOBALS['groupRanks'] = explode(' ',$purview);
}
复制代码
4、把功能参数转换成数组:$ns = explode(',',$n);
5、遍历:foreach($ns as
$n),就是把传递过来的功能参数,通过in_array($n,$GLOBALS['groupRanks'])这个函数进行对比,看一下$n里面的有
没有存功能在数组$_SESSION['dede_admin_purview']里面。例如:本例子信息发布员的权限在上我们已经知道了
有:t_AccList a_AccNew a_AccList a_MyList a_MyEdit a_MyDel sys_MdPwd
sys_Feedback sys_MyUpload plus_留言簿模块这些值。
如果$n是:a_AccNew,t_New,经过上面一个遍历,我们发现,其中a_AccNew在数
组$GLOBALS['groupRanks'],函数立马跳出来,返回一个true,也就是说织梦的这个函数,只要$n里面有一个是
与$GLOBALS['groupRanks']里面的值一样,
就可以操作这个页面。而不需要全部都在$GLOBALS['groupRanks']里面才可以操作这个页面。
当然,你可以根据自己需要,直接严格匹配,只有全部都在登录用户的权限里面才可以操作页面。这个功能也简单,只要作如下更改:
if(!in_array($n,$GLOBALS['groupRanks']))
{
$rs = FALSE; break;
}
复制代码
也就是把$n参数里面的值判断一下,只要有一个不在登录用户的权限里面,就返回false,退出操作。
是可以实现你要求的目标 的。。。在本地安装成功并新建内容后,可以分几步上传:
1。先前你本地的网站数据库的内容导出生成sql的文本文件备用
2将本地的网站文件用FTP上传至主机上(注:官方要求FTP上传模式为二进制),另外如果你的主机操作系统 是LINUX的需要将/include,/template下的所有文件及文件夹的权限修改为:777或755; 如果是WINDOWS则不需要这一步。
3上传完成后,再将原告导出的数据库文本文件导入到主机的数据中,这个需要登录主机的数据库管理后台,将数据库导入
4修改配置文件中数据库连接部分的数据信息;将主机商提供的数据库信息替换原有的数据。
5。上述都完成后即可登录网站后台,更新一下。就可以访问和添加数据了。
希望我的回答对你有些许的帮助!
直接写sql语句像你这样也可以
sql='Select from dede_dede_archives arc left join dede_addoninfos addon on addodaid= arcid where arcflag='c' "
也可以用arclist标签调用
{arclist channel="模型号" addfields="需要附加表的字段名,用,间隔" flag="c"}
1、标签名称:adminname
功能说明:
获得责任编辑名称
使用实例:
{dede:adminname /}
2、标签名称:arclist
功能说明:
文章列表调用标记
使用实例:
{dede:arclist flag='h' typeid='' row='' col='' titlelen='' infolen=''
imgwidth='' imgheight='' listtype='' orderby='' keyword='' limit='0,1'}
<a href='[field:arcurl/]'>[field:title/]</a>
{/dede:arclist}
参数说明:
col='' 分多少列显示(默认为单列),53版中本属性无效,要多列显示的可用div+css实现
row='10' 返回文档列表总数
typeid='' 栏目ID,在列表模板和档案模板中一般不需要指定,在封面模板中允许用","分开表示多个栏目;
titlelen = '30' 标题长度 等同于titlelength
infolen='160' 表示内容简介长度 等同于infolength
imgwidth='120' 缩略图宽度
imgheight='90' 缩略图高度
listtype='all' 栏目类型(顶级栏目??)
orderby='sortrank' 文档排序方式
§ orderby='hot' 或 orderby='click' 表示按点击数排列
§ orderby='sortrank' 或 orderby='pubdate' 按出版时间排列
§ orderby='near'
§ orderby=='lastpost' 按最后评论时间
§ orderby=='scores' 按得分排序
§ orderby='id' 按文章ID排序
§ orderby='rand' 随机获得指定条件的文档列表
keyword='' 含有指定关键字的文档列表,多个关键字用","分
innertext = '' 单条记录样式
aid='' 指定文档ID
idlist ='' 提取特定文档(文档ID)
channelid 频道ID
limit='' 起始,结束 表示限定的记录范围(如:limit='1,2')
flag = 'h' 自定义属性值:头条[h]推荐[c][p]幻灯[f]滚动[s]跳转[j]图文[a]加粗
noflag = '' 同flag,但这里是表示不包含这些属性
orderway='desc' 值为 desc 或 asc ,指定排序方式是降序还是顺向排序,默认为降序
subday='天数' 表示在多少天以内的文档
3、标签名称:arclistsg
功能说明:
单表模型的文章列表调用标记
使用实例:
{dede:arclistsg flag='h' typeid='' row='' col='' titlelen='' orderway='' keyword='' limit='0,1'}
<a href='[field:arcurl/]'>[field:title/]</a>
{/dede:arclistsg}
参数说明:
col='' 分多少列显示(默认为单列),53版中本属性无效,要多列显示的可用div+css实现
row='10' 返回文档列表总数
typeid='' 栏目ID,在列表模板和档案模板中一般不需要指定,在封面模板中允许用","分开表示多个栏目;
titlelen = '30' 标题长度 等同于titlelength
orderwey='desc'或'asc' 排序方向
keyword= 含有指定关键字的文档列表,多个关键字用","分
innertext = "[field:title/]" 单条记录样式(innertext是放在标签之间的代码)
arcid='' 指定文档ID
idlist ='' 提取特定文档(文档ID)
channelid = '' 频道ID
limit='' 起始,结束 表示限定的记录范围(如:limit='1,2')
flag = 'h' 自定义属性值:头条[h]推荐[c][p]幻灯[f]滚动[s]跳转[j]图文[a]加粗
subday='天数' 表示在多少天以内的文档
4、标签名称:autochannel
功能说明:
按排序位置的获取单个栏目的链接信息
使用实例:
{dede:autochannel partsort='' typeid=''}{/dede:autochannel}
参数说明:
partsort = '0' 栏目所在的排序位置
typeid = '0' 指定的父栏目
5、标签名称:channel
功能说明:
获取栏目列表标签
使用实例:
{dede:channel type='top' row='8' currentstyle="<li><a href='~typelink~' class='thisclass'>~typename~</a> </li>"}
<li><a href='[field:typelink/]'>[field:typename/]</a> </li>
{/dede:channel}
参数说明:
typeid = '0' 栏目ID
reid = '0' 上级栏目ID
row = '100' 调用栏目数
col = '1' 分多少列显示(默认为单列)
type = 'son' son表示下级栏目,self表示同级栏目,top顶级栏目
currentstyle = '' 应用样式
6、标签名称:channelartlist
功能说明:
获取当前频道的下级栏目的内容列表标签
使用实例:
{dede:channelartlist row=6}
<dl>
<dt><a href='{dede:field name='typeurl'/}'>{dede:field name='typename'/}</a></dt>
<dd>
{dede:arclist titlelen='42' row='10'} <ul class='autod'>
<li><a href="[field:arcurl /]">[field:title /]</a></li>
<li>([field:pubdate function="MyDate('m-d',@me)"/])</li>
</ul>
{/dede:arclist}
</dl>
{/dede:channelartlist}
参数说明:
typeid = '0' 频道ID,多个请用","分隔
row = '20' 获取的栏目返回值
其他说明:
除了宏标记外,channelArtlist 是唯一一个可以直接嵌套其它标记的标记,不过仅限于嵌套
{dede:type}{/dede:type} 和 {dede:arclist}{/dede:arclist} 两个标记。
7、标签名称:demotag
功能说明:
这仅是一个演示标签
使用实例:
{dede:demotag /}
8、标签名称:feedback
功能说明:
调用最新评论
使用实例:
{dede:feedback}
<ul>
<li class='fbtitle'>[field:username function="(@me=='guest' '游客' : @me)"/] 对 [field:title/] 的评论:</li>
<li class='fbmsg'> <a href="plus/feedbackphpaid=[field:aid/]" class='fbmsg'>[field:msg /]</a></li>
</ul>
{/dede:feedback}
参数说明:
row='12' 调用评论条数
titlelen='24' 标题长度
infolen='100' 评论长度
9、标签名称:flink
功能说明:
友情链接
使用实例:
{dede:flink row='24'/}
参数说明:
type='image' 或textall,链接,text文字链接;
row='24' 链接数量
titlelen='24' 站点文字的长度
linktype='1' 链接位置(首页,内页)
typeid='0' 所有类型
10、标签名称:hotwords
功能说明:
获取网站搜索的热门关键字
使用实例:
{dede:hotwords /}
参数说明:
num='6' 关键词数目
subday='365' 天数
maxlength='16' 关键词最大长度11、标签名称:infoguide
功能说明:
分类信息的地区与小分类搜索
使用实例:
{dede:infoguide /}
12、标签名称:likepage
功能说明:
单页文档相同标识调用标签
使用实例:
{dede:likepage likeid='' row=''/}
参数说明:
row = '' 调用条数
likeid = '' 标识名
13、标签名称:likesgpage
功能说明:
单页文档调用标签
使用实例:
{dede:likespage row=''/}
参数说明:
row = '' 调用条数
14、标签名称:loop
功能说明:
调用任意表的数据标签
使用实例:
{dede:loop table='dede_archives' sort='' row='4' if=''}
<a href='[field:arcurl/]'>[field:title/]</a>
{/dede:loop}
参数说明:
table = '' 查询表名
sort = '' 用于排序的字段
row = '' 返回结果的条数
if = '' 查询的条件
15、标签名称:memberinfos
功能说明:
文档关连的用户信息
使用实例:
{dede:memberinfos /}
参数说明:
无属性,支持 innertext
16、标签名称:memberlist
功能说明:
会员信息调用标签
使用实例:
{dede:memberlist orderby='scores' row='20'}
<a href="/member/indexphpuid={dede:fielduserid /}">{dede:fielduserid /}</a>
<span>{dede:fieldscores /}</span>
{/dede:memberlist}
参数说明:
orderby = 'scores' 按积分排序
row = '6' 调用数目
17、标签名称:myad
功能说明:
广告调用
使用实例:
{dede:myad name=''/}
参数说明:
typeid='0' 投放范围,0为全站
name='' 广告标识
18、标签名称:mynews
功能说明:
站内新闻调用标签
使用实例:
{dede:mynews row='' titlelen=''/}
参数说明:
row='1' 调用站内新闻数
titlelen='24' 新闻标题长度
19、标签名称:mytag
功能说明:
自定义宏标记调用标签
使用实例:
{dede:mytag typeid='0' name=''/}
参数说明:
typeid = '0' 栏目ID 0为全站栏目
name = '' 标记名
20、标签名称:softmsg
功能说明:
下载说明标签
使用实例:
{dede:softmsg /}
21、标签名称:sonchannel
功能说明:
子栏目调用标签
使用实例:
{dede:sonchannel}
<a href='[field:typeurl/]'>[field:typename/]</a>
{/dede:sonchannel}
参数说明:
row ='100' 返回数目
col = '1' 默认单列显示
22、标签名称:sql
功能说明:
SQL标签
使用实例:
{dede:sql sql=''}
[field:title/]
{/dede}
参数说明:
sql='' 完整的SQL语句
23、标签名称:tag
功能说明:
TAG调用标签
使用实例:
{dede:tag row='30' sort='new'/}
参数说明:
row='30' 调用条数
sort='new' 排序方式 month,rand,week
24、标签名称:type
功能说明:
指定的单个栏目的链接标签
使用实例:
{dede:type}
<a href="[field:typelink /]">[field:typename /]</a>
{/dede:type}
参数说明:
typeid='' 指定栏目ID
25、标签名称:vote
功能说明:
投票标签
使用实例:
{dede:vote id='' lineheight='22' tablewidth='100%' titlebgcolor='#EDEDE2' titlebackground='' tablebgcolor='#FFFFFF'/}
参数说明:
id='' 数字,当前投票ID
lineheight='24' 表格高度
tablewidth='100%' 表格宽度
titlebgcolor='#EDEDE2' 投票标题背景色
titlebackground=''
tablebg ='' 投票表格背景色
为了更方便修改样式,建议在后台->辅助插件->投票管理,直接复制生成的HTML代码来使用 《 幻为您专业解答》
0条评论