ユーザーがログインして Web アプリケーションのドキュメントにアクセスしている状況について、開発者と友好的な議論をしています。ユーザーが表示できるようにドキュメントをロードすると、セッション内のユーザー ID と、QueryString を介して渡される可能性のある documentID が取得されます。
ユーザーが QueryString の documentID を変更できないようにするために、ドキュメントをロードするストアド プロシージャが UserId をパラメーターとして使用し、ドキュメントに対する権限を検証することを提案します。
私の開発者の友人は、別の手順を実行してページの早い段階でドキュメントへのアクセス権を決定し、ドキュメントを表示する必要があるときにドキュメントを取得する手順を実行することを提案しています。
何か不足していますか?最も効率的で安全なのはどれですか? UserId と DocID を 1 つのプロシージャ コールに渡して、権限を確認し、ドキュメントをプルする方が効率的なソリューションだと思いました。