sasansara
دوشنبه 22 مهر 1392, 08:06 صبح
من برای پیاده سازی فرم های master-detail، مقدار id مربوط به فرم master رو توی یه hidden field در فرم detail نگهداری می کنم.
می دونیم که کاربر می تونه با استفاده از ابزاری مثل Developer tools در مرورگر کروم، مقدار این hidden filed رو تغییر بده. مساله اونجاست که کاربر به این ترتیب امکان ویرایش ردیف داده ای رو به دست میاره که مجوز دسترسی به اون رو نداره.
مثلا من داده با id های 8 و 6 رو بهش نشون میدم ، ولی 7 رو نشون نمی دم چون دسترسی نداره، حالا موقع ویرایش 8، میاد مقدار hidden field رو 7 می کنه و در واقع اطلاعات داده 7 رو به طور غیر مجاز تغییر میده.
راه هایی که من از یکیشون برای حل این مساله استفاده می کنم:
1- بررسی اجازه دسترسی کاربر به داده در حال ویرایش، قبل از انجام ویرایش
2- کد کردن مقدار id در هنگام قرار دادن در hidden field و دیکد کردنش در هنگام استفاده
دوستان اگه روش بهتری دارن یا فکر می کنن غیر از استفاده از hidden field روش های بهتری هست لطفا مطرح کنن.
متشکرم
می دونیم که کاربر می تونه با استفاده از ابزاری مثل Developer tools در مرورگر کروم، مقدار این hidden filed رو تغییر بده. مساله اونجاست که کاربر به این ترتیب امکان ویرایش ردیف داده ای رو به دست میاره که مجوز دسترسی به اون رو نداره.
مثلا من داده با id های 8 و 6 رو بهش نشون میدم ، ولی 7 رو نشون نمی دم چون دسترسی نداره، حالا موقع ویرایش 8، میاد مقدار hidden field رو 7 می کنه و در واقع اطلاعات داده 7 رو به طور غیر مجاز تغییر میده.
راه هایی که من از یکیشون برای حل این مساله استفاده می کنم:
1- بررسی اجازه دسترسی کاربر به داده در حال ویرایش، قبل از انجام ویرایش
2- کد کردن مقدار id در هنگام قرار دادن در hidden field و دیکد کردنش در هنگام استفاده
دوستان اگه روش بهتری دارن یا فکر می کنن غیر از استفاده از hidden field روش های بهتری هست لطفا مطرح کنن.
متشکرم