Как правильно передавать параметры?

Question

[jasonOk]

Допустим пользователь пишет комментарий, вместе с текстом передаётся id страницы, на которой пишется комментарий. Я знаю, что вопрос избитый, но всё же: как передавать id, чтобы изменить его было нельзя?

Поясню: это понятно, что на стороне сервера нужно проверять каждое действие пользователя, но как проверить следующее: человек хочет удалить комментарий, он нажимает на кнопку, у которой допустим data-id="1" а что если он возьмёт id своего другого комментария — data-id="2" подставит и нажмёт "удалить"?
Он без проблем удалит, так как и другой комментарий принадлежит ему. Как можно предотвратить подобные действия?

Answer 1

[Дмитрий Воронков]

Да пусть свои удаляет, главное чтоб чужие не мог, проверяй, принадлежит ли id к user_id

Answer 2

[Mikhail Osher]

Значит он сам захотел его удалить.

Answer 3

[khipster]

Разрешить для удаления только последний комментарий. Что тут сложно го?

Comments

[jasonOk]

по-моему глупо

[khipster]

jasonOk: Разрешить удаление последнего комментария на конкретной странице.

Answer 4

[Юрий Ерусалимский]

У меня появилась другая, идиотская мысль - передавать переменную, например, isChanged, которая будет равна true, если DOM страницы притерпел изменение, причём пользователем. Например, решил в панели разработчика что-то в HTML коде сделать - переменная стала правдивой. Как это реализовать пока не знаю, может вообще бред пишу.

Comments

[jasonOk]

А что мне мешает точно так же и вашу переменную изменить?

[Юрий Ерусалимский]

Тогда можно назначать каждому пользователю сессию, и ассоциировать на сервере id сессии с тем, менял юзер что-то в DOM или нет. Хотя, опять же, можно изловчиться и заблокировать такие запросы к серверу.

[jasonOk]

Юрий Ерусалимский: по-моему это велосипед на костылях, да и вообще, зачем так заморачиваться?

Answer 5

[Андрей Федоров]

Хорошо, а комментарии у вас никакого идентификатора не имеют? Нужно чтобы пользователь имел доступ не к осмысленным id, а только к результату хеш-функции(id страниы + id комментария + соль). На сервере вы все это вычисляете реальные значения, а не предоставленные пользователем. Совпало - действуете.

Comments

[jasonOk]

Не совсем понял, пользователь ведь и хеш так же подставит от одного комментария другому. Объясните свою мысль

[Андрей Федоров]

Подставит, но получит отлуп от сервера, так как реальный адрес страницы и id комента не соответствует хешу который он подставил.

[jasonOk]

Андрей Федоров: всё равно не понятно, вы предлагаете составлять хеш на основе адреса страницы...? А если оба комментария на одной и той же странице? Как соотносить хеш и id коммента?

[Андрей Федоров]

jasonOk: так у каждого комментария будут разные хеши, потому что аргумент у хеша (id страниы + id комментария + соль)

[jasonOk]

Андрей Федоров: у моего первого комментария, допустим, хеш — 123 у второго — 456 как сервер поймёт, что я взял хеш у первого комментария, а нажал "удалить" у второго?

[Андрей Федоров]

jasonOk: а второй что нельзя удалять?

Answer 6

[Станислав Макаров]

как передавать id, чтобы изменить его было нельзя?

Чтобы id изменить было нельзя, его лучше никак не передавать.

Если пользователь может удалить любой коммент по id, то и разрешайте ему это делать, это его выбор. Даже если он вообще не будет пользоваться браузером, а будет генерить запросы из скрипта.

Если можно удалять только последний/первый/какой-то там комментарий, то и реализуйте в API это специфическое действие - удалить последний комментарий. Тогда для удаления других комментариев у юзера просто не будет рычагов в вашем API.

Вы предпринимаете какую-то странную попытку защитить юзера от самого себя. Не понимаю, почему это вообще может вас волновать, если это не угрожает данным других пользователей (т.е. авторизация всех запросов выполняется правильно).