Как защититься от подмены пост запроса?

Question

[A R]

Добрый день.

Простой пример: есть комментарии под постом, каждому пользователю доступно удаление только своих комментариев. Удаление происходит так: делается ajax запрос на экшен контроллера, в запросе содержится айди комментария и другие данные. Как можно защититься от подмены id комментария в запросе ?

Заранее спасибо.

Answer 1

[Rsa97]

Все данные, пришедшие от клиента должны проверяться на сервере. Сюда входит как проверка корректности самих данных, так и проверка прав пользователя на операции с этими данными.

Answer 2

[Андрей Буров]

на стороне сервера проверяйте что комментарий принадлежит пользователю который отправил запрос.

Answer 3

[Алексей Скляров]

Проверять на сервере, передаете ID пользователя и ID комментария, если они связаны в базе, то удаляете, иначе - ошибка.

Comments

[A R]

Можно подробнее?

МОжно же просто в фаербаге допустим поменять айди пользователя и айди комментария, и удалится не тот комментарий, так как по факту пара айди автора и айди комментария будут верной.

[Алексей Скляров]

A R, а зачем вам явно передавать ID пользователя? Человек ниже пишет про сессию к примеру. Не обязательно передавать ID пользователя в AJAX запросе, чтобы его отследить.

[A R]

Алексей Скляров, а можно ссылку где почитать про это? что то гуглил, но не нашел( видимо в меру своего еще плохого умения гуглить программерские вопросы))

Answer 4

[xmoonlight]

А зачем?! Просто проверить права удаления текущим пользователем (серверная сессия) комментария с переданным ID .

Answer 5

[A R]

В итоге, самое лучшее решение, не передевать никаких служебных данных в открытом виде, а хешировать их.

Answer 6

[Александр Урих]

ID пользователя уже есть в Yii::$app->getUser()->getId();
Передаете id комментария и, получаете комментарий, указав в выборке id пользователя, либо, тащите этот комментарий из базы и сравниваете поле, отвечающее за id пользователя комментария с id текущего пользователя. Если разные - throw new ForbiddenHttpException();