0

ビューindex.phtmlにあるマルチユーザーアプリケーション内:

<a href="<?php echo $this->url( array( "module" => "myModule", "controller"
=>"myController","action" => "edit", "id" => $objThings->thingsid), 
'default', TRUE )?>

このリンクをクリックすると、次の URL に移動します。

http://website/mymodule/mycontroller/edit/id/228

ユーザーがレコードを編集できる場所。

ユーザーがログインすると、この URL をコピーしてパラメーターを 229 または 130 などに変更し、他のユーザーからの情報にアクセスできます。

これを防ぎ、レコードのレベルで認証を設定し、他のユーザーのレコードへのアクセスを拒否するためのベスト プラクティスは何ですか? (もちろん、レコードにはユーザー ID があります)。
URL のパラメーターを非表示にすることは、ユーザーを誘惑しないためのステップです。これに関する提案は大歓迎です。モジュール/アクションレベルでの認証も必要です。

私は検索してきましたが、解決策を見つけることができないようです。

4

1 に答える 1

0

両方を行います。ログインしているユーザーのプロファイルの詳細を編集する場合、そのユーザーが誰であるかは既にわかっているため、URL に ID は必要ありません。

次に、更新コードで、特定のデータの更新のみを許可します。

ログインしているユーザーがいる場合は、(ActiveRecord を使用しているか他の何かを使用しているかに応じて) データを簡単に更新できるオブジェクトを持っている可能性があります。それ以外の場合は、SQL で id を使用するようにしてください。

于 2013-04-17T21:24:17.930 に答える