PHP栏目权限校验需严格类型匹配、预处理防注入、支持继承与缓存,推荐Laravel Gate/Policy;易漏点:API未校验栏目权限、前端渲染与后端查询脱节、用户维度缓存未分离。
PHP中用 in_array() 判断用户栏目权限是否生效
最常用也最容易出错的方式,是把用户拥有的栏目 ID 列表(比如从数据库查出的 $userAllowedCats)和当前请求的栏目 ID($currentCatId)做简单比对。但要注意:这个数组必须是纯整型或严格字符串类型,否则 in_array('5', [5, 10], true) 会返回 false。
实操建议:
- 从数据库读取权限时统一用
array_map('intval', $rawIds)转成整型数组 - 判断前先检查
$userAllowedCats是否为数组且非空,避免 Warning - 不要依赖 session 中未校验的原始数据,每次鉴权前应重新加载或验证缓存有效性
基于 RBAC 模型查 category_permission 关联表做动态鉴权
当栏目权限支持「角色-栏目-操作」三级控制(如编辑/查看/删除),就不能只靠 ID 列表硬匹配。典型做法是拼接 SQL 查询关联表,例如:
SELECT COUNT(*) FROM category_permission WHERE role_id = ? AND cat_id = ? AND action = 'view'
关键点:
立即学习“PHP免费学习笔记(深入)”;
- 参数必须用 PDO 预处理,禁止字符串拼接
$catId,防止越权访问(比如传入1 OR 1=1) - 如果栏目有继承关系(子栏目自动继承父级权限),需额外递归查询祖先节点,不能只查当前
cat_id - 高频访问场景下,建议将结果缓存到 Redis,key 可设为
perm:role_{$roleId}:cat_{$catId}:view
用 Laravel 的 can() 方法配合策略类控制栏目访问
如果你项目已用 Laravel,别重复造轮子。Laravel 自带的 Gate 和 Policy 能自然对接栏目模型。比如定义 CategoryPolicy 的 view() 方法:
public function view(User $user, Category $category): bool
{
return $user->hasRole('admin') ||
in_array($category->id, $user->allowed_category_ids);
}
调用时直接写 $user->can('view', $category) 即可。注意:
- 确保
$category是 Eloquent 模型实例,不是裸数组或 ID;否则 Policy 不会触发 - 若权限逻辑复杂(如按用户组+时间+IP 多维限制),Policy 方法里别写死,抽成独立服务类注入
- 中间件里调用
can()前,务必确认$category已通过路由模型绑定或手动查出,否则抛ModelNotFoundException
绕过权限校验导致的越权漏洞常见位置
很多线上问题不是逻辑写错,而是漏校验。以下三处最容易被忽略:
- API 接口里只校验了「用户是否登录」,但没校验「能否访问该栏目」,尤其 POST/PUT 接口常被跳过
- 前端渲染菜单时用了权限数据,但后端接口仍按 ID 直接查记录,没二次校验所属栏目是否在授权范围内
- 使用缓存时,把整个栏目页 HTML 缓存了,但不同用户看到的内容本应不同——这种缓存必须按用户 ID + 栏目 ID 组合键分离
权限不是加一层 if 就完事,它得贯穿请求生命周期:路由层拦截、控制器里显式调用、视图中动态渲染、缓存键设计也要参与。
