我与开发人员就用户登录并访问Web应用程序中的文档的情况进行了友好辩论。当我们加载文档供用户查看时,我们有会话中的用户ID和可以通过QueryString传递的documentID。用户访问权限检查特定数据库对象或记录的权限
为了防止用户修改QueryString上的documentID,我建议加载文档的存储过程将UserId作为参数来验证文档的权限。
我的开发人员朋友建议我们运行一个单独的过程来确定页面前面的文档的访问权限,并且只需运行一个过程以在显示文档时抓取文档。
我们错过了什么吗?哪个最有效和最安全?我认为将带有DocID的UserId传递给一个过程调用来检查权限,并将文档拉到一个更有效的解决方案。