nefone
Новичок
Есть сайт, где пользователи могут создавать записи, а дальше редактировать их или удалять.
Форма удаления проста:
На бэкенде код, который проверять авторизован пользователь и если да, то удаляет запись:
Получается банально поменяв в html значения скрытого поля, мы можем удалять любые записи, которые создал не наш пользователь.
Как лучше защититься от этого?
Форма удаления проста:
PHP:
<form method="POST">
<!-- разные поля -->
<input type="hidden" name="object" value="1">
<button type="submit">Удалить</button>
</form>
PHP:
if (!empty($_SESSION['user_name']) { // вся проверка на то авторизован пользователь или нет.
deleteObj($_POST['object']); //удаляем из базы запись с id из нашей формы
} else {
exit('Авторизуйся');
}
Как лучше защититься от этого?