Задать вопрос
SimBioT19
@SimBioT19
{{ user.about }}
javascript

Как правильно сделать удаление комментария?

У меня на сайте каждый пользователь спокойно может свой удалить комментарий. Удаляются комментарии через ajax — просто отправляется id пользователя и id комментария на файл delete.php, а там уже обращение к БД.
Проблема в том, что пользователь может заменить id комментария и удалить любой другой. Как от этого защититься? В голову приходит идея отправлять вместе с id пользователя также его уникальный хэш, если id пользователя в БД и хэш не совпадают, комментарий удалён не будет. Правильный ли такой подход и как сделать, чтобы пользователь также не мог изменить id на номер другого своего комментария? Как точно знать на каком комментарии пользователь нажал кнопку "удалить"? И вообще, как эта часть организована на тостере, например? Какие данные пользователь должен отправлять, чтобы ничего нельзя было подменить?
  • Вопрос задан
  • 439 просмотров
Комментировать
Подписаться 4 Оценить Комментировать
Пригласить эксперта
Ответы на вопрос 2
Taraflex
@Taraflex
Ищу работу. Контакты в профиле.
При авторизации пишите id пользователя в сессию.
При комментировании крепите id пользователя к комменту.
При удалении берете id пользователя из сессии и сверяете его с id пользователя из коммента.
Если совпадают - удаляете коммент.
Ответ написан
6 комментариев
6 комментариев
elevenelven
@elevenelven
Php Dev @ Amadeus
Не берите данные об UserID из того что предоставляет пользователь.

Берите из сессии или из объекта User (смотря какой у вас фреймворк, или CMS, или самописный движок)

if( $comment->getUserId() === $_SESSION['user']['id'] ){
   //doDelete
}else{
  Logger::log('Fraud attempt');
}


Хотя по формулировке вопроса я чувствую у вас нет привязки комментария к ID пользователя?
Ответ написан
2 комментария
2 комментария
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы
Вакансии с Хабр Карьеры
JavaScript FullStack разработчик
Rocket Смоленск
от 80 000 до 130 000 ₽
Fullstack разработчик JavaScript, php
Дорстрой-36 Воронеж
от 100 000 до 200 000 ₽
JavaScript FullStack developer
Wanted. Санкт-Петербург
До 220 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Отрисовать дизайн веб-страницы генерации математических примеров
23 нояб. 2024, в 16:00
10000 руб./за проект
Сделать бот программу для браузерной игры
23 нояб. 2024, в 15:17
5000 руб./за проект
Сделать баннеры для рекламы
23 нояб. 2024, в 14:26
5000 руб./за проект
Ещё заказы