0
尊敬的StackOverflow社區!Laravel資源更新和操作與檢查元素
我剛剛遇到了從檢查元素控制檯操縱ID。
例如,如果我的表格有行動:/tickets/update/2
然後,如果我改變它檢查元素,以/tickets/update/3例如,然後更新您在/update/2不得不/update/3
所有的數據都沒有什麼辦法來防止這種?
最好的問候。 :)
A
回答
0
你不能阻止事物的瀏覽器端的變量操作。你必須確保你的路線。 Laravel手冊在how to get started with authentication上的寫法相當不錯。
您可以使用hashids來混淆您的標識符變量,但這是不是安全措施。
您要做的是驗證發出請求的最終用戶實際上是否有權訪問該資源。
基本例如:
function show(int $id): JsonResponse
{
$user = Auth::user();
$result = Resource::where('user_id', $user->id)
->where('id', $id)
->firstOrFail();
return Response::json($result);
}
當然,這都是可以更優雅的做用中間件,但原理基本相同。
+0
是。我使用權限和身份驗證中間件來保護路線。 我想到的一個想法是使用哈希,而不是整數ID,但它的代和重複檢查是痛苦的屁股... – user2132802
+0
我根據您的評論更新了我的答案。 –
0
您需要對輸入執行驗證。
FormRequest驗證使得這非常容易,特別是專門爲此設計的authorize方法。您只需從路由中獲取id並確保登錄的用戶有權修改該id。
https://laravel.com/docs/5.2/validation#form-request-validation
相關問題
- 1. Laravel 5.3資源:更改操作
- 2. Laravel 5.4 - 更新資源
- 3. 與單條和多資源和操作
- 4. Rails,嵌套資源,更新操作
- 5. RSpecing:嵌套資源的更新操作
- 6. AngularJS $資源更新/ PUT操作?
- 7. 如何檢查Azure資源的資源刪除操作結果
- 8. emberJS 2:操作的嵌套關係資源(更新和刪除)
- 9. Laravel資源,檢查特定用戶
- 10. ArrayList元素在操作後未更新
- 11. 資源檢查
- 12. 畫布操作與元素操作
- 13. 更改laravel資源網址
- 14. Laravel路由與資源
- 15. RSelenium和findElements與檢查元素使用
- 16. 添加和操作元素
- 17. boost :: asio異步操作和資源
- 18. REST的資源和操作URI約定
- 19. 具有隻讀元素的資源的RESTful部分更新?
- 20. 如何檢查Android資源資源?
- 21. DOM更新沒有顯示在'查看源代碼'中,只在'檢查元素'
- 22. JSTL檢查資源可用與否
- 23. Chrome瀏覽器:檢查元素與查看源代碼
- 24. 資源不更新
- 25. Angular $更新資源
- 26. Android資源飢餓操作
- 27. maven pom的資源元素
- 28. Rest API更新/刪除 - 檢查資源是否存在?
- 29. 更新和檢查vs選擇與holdlock
- 30. 角度資源更新不起作用
改進格式 – Dmitry