Controllo dati utente dopo invio con GET

[dcuder]

Descrivo lo scenario:
1. autentico un utente, es. userID=3;
2. da una pagina "A" che elenca alcuni oggetti (es. un carrello della spesa) vado alla pagina "B" in cui si modifica/cancella ecc. i singoli oggetti, tramite un link con specifica di quale oggetto si tratta es. classico: edit.php?itemID=11
Ora... io devo ovviamente controllare che l'oggetto itemID 11 appartenga allo userID 3, sennò chiunque può modificare l'url e specificare un itemID che non gli appartiene......

La prima ovvia soluzione è quella di interrogare il database e fare il controllo, ma volevo sapere se esiste una maniera più "professionale" senza scomodare il db.
Grazie!

[dcuder]

Intendi qualcosa del tipo:
1. memorizzo in sessione userID
2. appendo lo userID all'url: edit.php?itemID=11&userID=3
3. nella pagina "B" controllo che lo userID che recupero con GET sia uguale a quello memorizzato nella session

???

[dcuder]

O eventualmente per aumentare la sicurezza memorizzi sia lo userID che l'itemID.

Perfetto, ti ringrazio.

[dcuder]

Altra soluzione:
per ogni item creare una form nascosta che con campo nascosto passa l'itemID; non volevo usarlo perché credevo che fosse necessario utilizzare un bottone per ogni voce, e diventava bruttino, ma ho scoperto che nel campo "BUTTON" si può mettere quasi qualsiasi cosa:

codice:

<form action=pagine che vuoi method="POST">
<input type="hidden" name="itemID" value="$itemID">
<button><img src="iconcina a piacere"></button>
</form>

Il tutto può essere inserito anche nella cella di una tabella, ma è chiaro che così
1. si appesantisce di tantissimo l'HTML
2. si guadagna in sicurezza

A seconda di cosa ci interessa di più si può scegliere...

[boots]

GET o POST non è che cambi molto la cosa.
Se l'appartenenza di un oggetto ad un utente è specificata nel db, allora lo devi interrogare per forza