Есть пост, под ним форма отправки комента, как правильно при добавлении комментария добавить id поста? Если его передавать во view в кнопке или через скрытый input то можно его подделать, а как его получить в контролере?
А в чем проблема то не понимаю? Для чего кому-то подделывать ID поста для комментария? Естественно в любой HTTP запрос можно подставить другой ID поста и комментарий добавится к указанному в запросе посту. Но для чего? Если же вы хотите на уровне юзера ограничить доступ к определенным постам для комментирования, то это все уже нужно делать непосредственно в условиях скрипта.
ну оставит юзер под другим постом, в чем проблема? другое дело имеет ли тек. юзер права оставлять под этим постом комменты? вот это как раз проверяете перед добавлением коммента в БД
