ecshopb源码b分析权限系统

1、ecshop源码分析权限系统第一部分ecshop权限系统介绍这部分熟悉了的朋友可以直接跳过，进入第二部分的代码分析这里是后台管理员的列表，我这里以admin管理员登陆进入后台的，admin管理员拥有所有的权限。图1后台管理员列表如果想为某位管理员分派权限，点击分派权限按钮以后就会出现下面图片中的内容图2分派权限图商品管理、文章管理、会员管理等都被精细的分成更多小的权限。图中的每一项小的权限都在数据库表中对应一个列数据。它被储存在数据表ecs_admin_action中。图3ecs_admin_action权限表的部分数据该表中的action_code字索的值口对应着各个权限。这个权限系统还涉与

2、到另外一张表ecs_admin_user,F面的图片是表记录中的某一行记录,包括了这名管理员的一些基本信息。图4ecs_admin_use展中记录中的其中一行与权限相关的字段是ictionllist,从以上图片中可以看到用户名为bjgonghuol的管理员所有的权限在字段action_list中，action_list里面用逗号分割开的值对应着权限表ecs_admin_action中action_code的值。所以我要知道某个管理员的拥有哪些权限只需要查询这个ecs_action_use展中的action_list字段。不同权限的管理员从后台登陆进去以后，看到而管理菜单是不一痒的。下面图片是拥

3、有全部权限的admin管理员登陆以后的管理菜单。图5管理员admin的权限管理菜单以test03管理员登录后台看到的权限菜单则是图6管理员test03的后台权限管理菜单第二部分代码分析登陆某管理员登录的时候，就需要查询权限表，并将该管理员的权限放在session中。if(md5($row'password'.$_CFG'hash_code')=$_COOKIE'ECSCP''admin_pass')!isset($row'last_time')&&$row'last_time'=&#

4、39;'set_admin_session($row'user_id',$row'user_name',$row'action_list',$row'last_time');以上这段代码在ecshop/upload/admin/includes/init.php的253行附近。其中set_admin_session函数用来将一些信息记录到session中去的,$rowaction_list'存储了该管理员拥有了那些权限。set_admin_session§数在ecshop/upload/admin/inc

5、ludes/lib_mains.php*设置管理员的session内容*accesspublic*paraminteger$user_id管理员编号*paramstring$username管理员#*paramstring$action_list权限列表*paramstring$last_time最后登录时间*returnvoid*/functionset_admin_session($user_id,$username,$action_list,$last_time)$_SESSION'admin_id'=$user_id;$_SESSION'admin_name&#

6、39;=$username;$_SESSION'action_list'=$action_list;$_SESSION'last_check'=$last_time;/用于保存最后一次检查订单的时间分派权限某管理员为其他管理员分派权限的相关代码位于ecshop/upload/admin/privilege.php文件中/*/-为管理员分配权限/*/elseif($_REQUEST'act'='allot')/该包含文件是ECSHOP权限名称语言文件，主要用于多语言include_once(ROOT_PATH.'langua

7、ges/'.$_CFG'lang'.'/admin/priv_action.php');/*判断该管理员是否拥有“allot_priv"权限，拥有allot_priv'权限的管理员才能为其他用户设置权限*/admin_priv('allot_priv');if($_SESSION'admin_id'=$_GET'id')admin_priv('all');/*获得该管理员的权限*/$priv_str=$db->getOne("SELECTaction_lis

8、tFROM".$ecs->table('admin_user').WHEREuser_id='$_GETid'");/*如果被编辑的管理员拥有了all这个权限，将不能编辑*/if($priv_str='all')$link口=array('text'=>$_LANG'back_admin_list','href'=>'privilege.php?act=list');sys_msg($_LANG'edit_admininfo_cannot

9、',0,$link);/*获取权限的分组数据*/$sql_query="SELECTaction_id,parent_id,action_codeFROM".$ecs->table('admin_action')."WHEREparent_id=0"$res=$db->query($sql_query);while($rows=$db->FetchRow($res)$priv_arr$rows'action_id'=$rows;/*按权限组查询底级的权限名称*/$sql="SELECTa

10、ction_id,parent_id,action_codeFROM".$ecs->table('admin_action')."WHEREparent_id".db_create_in(array_keys($priv_arr);$result=$db->query($sql);while($priv=$db->FetchRow($result)$priv_arr$priv"parent_id""priv"$priv"action_code"=$priv;admin_p

11、riv函数位于ecshop/upload/admin/lib_main.php第162行附近/*判断管理员对某一个操作是否有权限。* 根据当前对应的action_code,然后再和用户session里面的action_list做匹配，以此来决定是否可以继续执行。* paramstring$priv_str操作对应的priv_str* paramstring$msg_type返回的类型* returntrue/false* /functionadmin_priv($priv_str,$msg_type=",$msg_output=true)global$_LANG;if($_SESSI

12、ON'action_list'='all')returntrue;if(strpos(','.$_SESSION'action_list'.',',','.$priv_str.',')=false)$link=array('text'=>$_LANG'go_back','href'=>'javascript:history.back(-1)');if($msg_output)sys_msg($_LANG'priv_erro门,0,$link);returnfalse;elseret