You are here

关于权限的问题

libo 的头像
Submitted by libo on 星期二, 2008-11-18 05:46

我发现一个比较有意思的现象,如果一个帐号有administer users的权限,他就可以任意删除站内所有的用户,包括id=1的帐号和自己的帐号,实在不是很安全。
 
我要给客户一个帐号,可以管理用户,但是如果给它那个权限,万一他要勿删自己或者id=1的帐号就无奈了
 
有什么办法解决么?
 

论坛:

你看看ACL模块,以及相关的模块,看看权限控制的相关模块。administer users的权限大了,你可以看看能不能把它拆分一下,就是把用户分成多个角色,让管理员只能看到特定角色的用户,这样就可以了。