Ho appena avuto questo pensiero, non so se sono lento però.Applicazioni Web: memorizzare l'ID nei campi nascosti in modo sicuro?
Di solito, memorizzo l'id dell'articolo che sto modificando in un campo nascosto. Poi nel backend (sto usando PHP/Zend Framework btw), ho capito per determinare quale elemento viene modificato. Ma poi ho pensato, in qualcosa di più sicuro, ad es. modifica profilo, l'utente può in qualche modo modificare un campo nascosto giusto? Quindi può modificare il profilo di qualcun altro. So per il profilo di modifica, posso ottenere l'id dalla variabile di sessione, ma cosa succede se ho qualcosa che mi richiede di memorizzare l'id da qualche parte?
Ho ottenuto ACL (Zend_Acl). Faccio questo. Fondamentalmente prendi l'id dai parametri della richiesta
$id = $req->getParam('id');
quindi controlla se l'utente che ha effettuato l'accesso è autorizzato a modificare l'elemento. Ma la cosa è che mi chiedo se l'url è qualcosa come /users/edit/1
dove 1 è l'id. Ma in qualche modo, il campo nascosto viene cambiato in 2, quale sarà il parametro della richiesta?
Come gestiresti questo?
Mi chiedo quale valore otterrò se il parametro id viene emesso sia in GET che in POST? quale sarà usato? –
è definito nel php.ini –
Beh, sicuramente questo dipenderà dal quale stai effettivamente chiamando. $ _POST o $ _GET. È quindi possibile scegliere quale è utilizzato e, per quanto ne sapevo, l'utilizzo di vars globali in questo modo non è una buona idea. – webnoob