Ciao,
Per cancellare un record dal mio script cliccando su ELIMINA l'utente viente reindirizzato a una URL tipo:
http://xxx/Elimina.php?DelNotaId=141
Se l'utente cambiare il valore 141 per un'altro può praticamente cancellare qualsiasi record.
Come posso bloccare tutto ciò?
Eventualmente se il link viene chiamato dall'url lo script da un avviso?
Grazie..
Usare il metodo post anziché il metodo get.
Anche ma non solo. Anche i dati post si possono cambiare abbastanza facilmente.Originariamente inviato da _debo
Usare il metodo post anziché il metodo get.
Oltre a usare POST, quindi, direi che nel tuo codice dove effettui la cancellazione devi come minimo controllare che quel record sia di proprietà di quell'utente o, vista al contrario, che l'utente abbia il permesso di agire su quel record. Questo come minimo, poi ci potrebbero essere molti altri metodi per rendere più sicure le operazioni sui dati.
Quoto. Potresti pensare anche all'uso dei token id per esempio.Originariamente inviato da Dascos
Anche ma non solo. Anche i dati post si possono cambiare abbastanza facilmente.
Oltre a usare POST, quindi, direi che nel tuo codice dove effettui la cancellazione devi come minimo controllare che quel record sia di proprietà di quell'utente o, vista al contrario, che l'utente abbia il permesso di agire su quel record. Questo come minimo, poi ci potrebbero essere molti altri metodi per rendere più sicure le operazioni sui dati.
Permessi di invio
Rispondi quotando