PHP: 怎样在后台替换author参数，防止信息泄露？

我想是，只能看到自己的文档，url中upload.php没有author的query，就加上自己的ID，当点击别人的ID，也要替换成自己的。

很久没看的WP代码，改动蛮大找不着北了。现在处理的多用户后台，文章部分WP的权限处理很完善，附件部分就显得不够完整，插件作用不到，只能改改系统代码了。

我写的代码大概是这样，PHP语法和WP函数都不太熟悉：
http://gist.github.com/835087
https://gist.github.com/835087
望指正！

xinzhi

2011-02-19 23:04:41 +08:00

媒体库页面，是没有author这个过滤选项的，一般不会附加到URL上，但手动加上，的确有效。

数据库查询语句没有找到，只是在145行SQL语句AND前加AND post_author = $current_user->ID发现有点效果。

benzhe

2011-02-20 00:32:55 +08:00

"只能看到自己的文档"，这样的话没必要用判断了吧，直接执行中间两句应该不会报错。按照这种说法，可以直接在new post前只一句author = XXX; 来固定author

xinzhi

2011-02-20 00:38:05 +08:00

@benzhe 是upload部分的，不是post。是上传的附件，不是文章。

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/8698

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.