Правильно ли так делать?

Question

[alex-vod]

Правильно ли будет с точки безопасности, если я использую id пользователя чтобы вывести его запись? Например мне нужно показывать пользователю лишь его записи и чтобы он не мог видеть, редактировать чужие записи. Будет ли правильно если я записываю его id в сессию а потом проверяю принадлежит ли запись этому id?

Answer 1

[thatside]

Чтобы не светить конкретно сами ID - можно записывать его в сессию в виде какого-либо хеша, и проверять соответствие не user_id <=> owner_id, а hash(user_id) <=> hash(owner_id)

Comments

[alex-vod]

А вот тут я не понял, что ха хеш и где мне его хранить?

[thatside]

alex-vod: хеш - закодированная каким-то образом строка. Ее особенность - односторонняя кодировка: у одинаковых ID хеш будет одинаковым, но по нему нельзя восстановить сам ID. Хранить его можно так же, как Вы собирались хранить ID. А само хеширование - можно почитать про MD5, к примеру. Правда, я не помню, есть ли в PHP своя реализация этой функции.

[alex-vod]

thatside: что такое хеш я знаю, а вот не понятно где его хранить если я его сделаю. Я понял что сначала я получаю в сессию id пользователя, потом этот результат хеширую, потом получаю user_id из нужной записи и тоже хеширую, потом проверяю хеш сессии id и хеш user_id из таблицы записи. Правильно ли я понял?

[thatside]

Возможно, я не совсем понял цель идеи. Проблема в том, чтобы не показывать пользователю его ID?

[alex-vod]

thatside: нет. Вот например, на сайте есть добавление новости, при ее добавлении в базу в таблицу с новостью также записывается в поле user_id идентификатор того кто создал эту новость. Задача в том, чтобы показывать пользователю ЕГО новости или записи, неважно что, и давать редактировать и удалять ему лишь записи которые создал он. Для этого его id вписан в поле user_id. Так вот как можно выводить эти его записи? В вопросе у меня вариант: в сессию записывать его id когда он входит и уже по нему выводить именно его записи...

Answer 2

[Кирилл Арутюнов]

Да, вы можете хранить ID пользователя в сессии. Обычно так и делают: хранят auth_token, user_id и username, например.
Таким образом, вы в любой точке приложения можете получить всю информацию о текущем пользователе: вывести его имя, например. Или же сформировать ссылку для редактирования новости.

Только не забудьте, что на странице редактирования новости необходимо проверить - есть ли права у текущего пользователя на редактирование именно этой новости (показать/спрятать ссылку - мало, необходимо точно убедиться, что права на совершаемое действие есть).