用戶故事:
我是Web應用程序的管理員,我需要刪除Web應用程序的另一個用戶。我從用戶列表中選擇用戶,然後可以從後續頁面中刪除用戶。
電流(錯誤)解決方案:
現在我保存在一個隱藏的表單元素用戶要被刪除的ID /主鍵(太可怕了,太可怕了,太可怕了,我知道 - 有人可以使用元素檢查器刪除任何用戶...)。什麼是這樣的最佳做法?我是否將要刪除的用戶ID /主鍵保存爲$ _SESSION變量?一塊餅乾?一個哈希URL並用$ _GET獲取它?
編輯
有不同的用戶組,由不同的管理員來管理。 A組的管理員不知道B組(以及它的用戶)等。所有用戶都在一個表中,所有用戶都可以在任意數量的組中。我需要保護用戶的ID並將其從DOM中刪除,以便有人不能修改它並刪除沒有管轄權的用戶。
「有人可以刪除與元素督察的用戶」 ---爲什麼你的管理部分沒有固定? – zerkms
如果'刪除'頁面得到了充分的保護,只有你有權訪問它,那麼隱藏的表單字段就沒問題 - 畢竟,你在竊取你自己的字段沒有意義。 –
我假設你是以管理員身份登錄的?你不能從你自己的$ _SESSION中檢查你是否是登錄用戶,只有「then」允許刪除腳本? – darma