用户故事:
我是Web应用程序的管理员,我需要删除Web应用程序的另一个用户。我从用户列表中选择用户,然后可以从后续页面中删除用户。
电流(错误)解决方案:
现在我保存在一个隐藏的表单元素用户要被删除的ID /主键(太可怕了,太可怕了,太可怕了,我知道 - 有人可以使用元素检查器删除任何用户...)。什么是这样的最佳做法?我是否将要删除的用户ID /主键保存为$ _SESSION变量?一块饼干?一个哈希URL并用$ _GET获取它?
编辑
有不同的用户组,由不同的管理员来管理。 A组的管理员不知道B组(以及它的用户)等。所有用户都在一个表中,所有用户都可以在任意数量的组中。我需要保护用户的ID并将其从DOM中删除,以便有人不能修改它并删除没有管辖权的用户。
“有人可以删除与元素督察的用户” ---为什么你的管理部分没有固定? – zerkms
如果'删除'页面得到了充分的保护,只有你有权访问它,那么隐藏的表单字段就没问题 - 毕竟,你在窃取你自己的字段没有意义。 –
我假设你是以管理员身份登录的?你不能从你自己的$ _SESSION中检查你是否是登录用户,只有“then”允许删除脚本? – darma