| |
|
|
| | привет, у меня есть cms в которой пока только реализованно полное управление пользователя кроме их удаления. я не знаю как можно сделать их удаление безопасным. Если сделать запрос в базу (delete from table_name where id = $id) и передать переменную id через $_POST, то юзер может легко заменить её и удалить другого пользователя. Как сделать чтобы запрос не был виден и чтобы id нельзя было подменить. я думаю на javascript лучшего всего, но я его не знаю
Заранее спасибо | |
| |
|
|
| |
|
|
| |
для: T-Ray
(18.02.2008 в 14:17)
| | | Ну и пусть подменит, если он админ, ему ссылки даются для легкого сопоставления юзеров с id, а не для того, что "нет, только ссылкой" | |
| |
|
|
| |
|
|
| |
для: bronenos
(18.02.2008 в 14:19)
| | | а это мысль... )))))))))))))))))))) | |
| |
|
|
| |
|
|
| |
для: T-Ray
(18.02.2008 в 14:53)
| | | может при регистрации стоит проверять имя на уникальность
и заодно почту его - потому как востановление пароля будет приходить на почту наверно) | |
| |
|
|
| |
|
|
| |
для: dimonich2004
(18.02.2008 в 17:48)
| | | А это тут причем. Человек про удаление спросил | |
| |
|
|
| |
автор: tima (18.02.2008 в 20:33) |
|
| |
для: T-Ray
(18.02.2008 в 14:17)
| | | test | |
| |
|
|
| |
автор: Tima (18.02.2008 в 20:36) |
|
| |
для: T-Ray
(18.02.2008 в 14:17)
| | | Нужно значение переменной id передавать через cессии
$_SESSION["del_user_id"]= $id;
ну и
delete from table_name where id = $_SESSION[del_user_id] //думаю так удобнее | |
| |
|
|
| |
|
|
| |
для: T-Ray
(18.02.2008 в 14:17)
| | | Пользователи могут удалять только себя? | |
| |
|
|
| |
|
|
| |
для: cheops
(19.02.2008 в 11:34)
| | | Ну вообще как можно сделать запрос в базу и чтобы переменную, которая участвует в запросе нельзя было увидеть и заменить | |
| |
|
|
| |
|
|
| |
для: T-Ray
(19.02.2008 в 20:56)
| | | Если не ивзращаться на тему ajax, то не сделать, да и не надо
При правильном проектировании | |
| |
|
|
| |
|
|
| |
для: T-Ray
(19.02.2008 в 20:56)
| | | В общем такую переменную, которая для каждого пользователя, я так понимаю, уникальна, обычно помещают в сессию. В сессии пользователь не сможет её подделать. | |
| |
|
|
| |
|
|
| |
для: T-Ray
(18.02.2008 в 14:17)
| | | >у меня есть cms в которой пока только реализованно полное управление пользователя
Не понятно, если вы админ, то с пользователем вы можете делать все что угодно, судя по "реализованно полное управление пользователя".
Если вы как админ можете редактировать пользователя(безопасно), то почему также вы не можете его удалить? Также (безопасно). | |
| |
|
|
| |
|
|
| |
для: Faraon
(19.02.2008 в 21:49)
| | | наверное я зря создал этот пост, не подумал... хотя на будущее как можно делать запросы с переменной которую нельзя увидеть и изменить... | |
| |
|
|
