有漏洞無作為才可怕、可恥！，漏洞作為

有漏洞無作為才可怕、可恥！，漏洞作為

　　安全問題：

　　是否有權限進行CURD，因為參數在地址欄裡，是可以修改的，（或參數在html頁面裡，可以用firebug修改源碼），所以進行CURD之前要先查詢該操作人是否擁有這條記錄，比如：根據門店ID和傳遞的參數查詢這條記錄是否屬於這個操作人，如果不屬於就提示（非法操作，已被記錄！，以達到警告的目的）

　　例如：

    /*
     * 校驗是否有權限進行CURD
     */
    public function check_rbac($theme_id){
        $model=M();
        $adm_session = es_session::get(md5(conf("BI_AUTH_KEY")), 1);
        $location_id=$adm_session['supplier_locations'];
        $map=array('id'=>$theme_id,'location_id'=>$location_id);
        $result=$model->where($map)->getField('id');
        if(empty($result)){
            $this->error('非法操作，已被記錄！');
        }

    }