Autor Zpráva
Luksa
Profil *
Ahoj, vytvarim diskuzi kde bude moci prihlaseny uzivatel mazat sve prispevky (zobrazi se mu vedle prispevku odkaz smazat). Mam to vymyslene tak, ze po kliknuti na smazat se mi do URL metodou GET vlozi ID prispevku. Je to dobre reseni nebo malo bezpecne? (nekdo zmeni ID v URL a smaze se jiny prispevek). Dekuji
Taps
Profil
Luksa:
Ještě bude lepší když bude kontrolovat i vlastníka příspěvku při operaci smazání
Alphard
Profil
Get lze podvrhnout snadno, post obtížněji, to je vše. Zabezpečení musí (by mělo být) mnohem důkladnější. Kromě kontroly vlastníka příspěvku by mělo být kontrolováno i to, jestli požadavek na akci pochází skutečně od daného uživatele (zvláště, pokud tam má někdo moderátorská práva smazat vše).
Viz PHP triky - Cross-Site Request Forgery
Luksa
Profil *
1) Pokud bude moci prispevky mazat pouze admin stranek (odkaz smazat se zobrazi pouze jemu, tak to snad nebezpecne neni).
2) Jak nahradit metodu GET metodou POST kdyz se jedna o odkaz?
<?php echo "<a href=\"?id=$id\">Smazat</a>";
Alphard
Profil
Luksa:
2) Jak nahradit metodu GET metodou POST kdyz se jedna o odkaz?
Když pominu řešení závislá na javascriptu, zbývá asi jen formulář a tlačítko nastylované jako odkaz.

Vaše odpověď

Mohlo by se hodit


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: