@alex-vod

Правильно ли так делать?

Правильно ли будет с точки безопасности, если я использую id пользователя чтобы вывести его запись? Например мне нужно показывать пользователю лишь его записи и чтобы он не мог видеть, редактировать чужие записи. Будет ли правильно если я записываю его id в сессию а потом проверяю принадлежит ли запись этому id?
  • Вопрос задан
  • 277 просмотров
Решения вопроса 1
@thatside
Чтобы не светить конкретно сами ID - можно записывать его в сессию в виде какого-либо хеша, и проверять соответствие не user_id <=> owner_id, а hash(user_id) <=> hash(owner_id)
Ответ написан
Пригласить эксперта
Ответы на вопрос 1
arutyunov
@arutyunov
Mooza.ru — Делаем сайты
Да, вы можете хранить ID пользователя в сессии. Обычно так и делают: хранят auth_token, user_id и username, например.
Таким образом, вы в любой точке приложения можете получить всю информацию о текущем пользователе: вывести его имя, например. Или же сформировать ссылку для редактирования новости.

Только не забудьте, что на странице редактирования новости необходимо проверить - есть ли права у текущего пользователя на редактирование именно этой новости (показать/спрятать ссылку - мало, необходимо точно убедиться, что права на совершаемое действие есть).
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы