Параметры строки запроса и подделка

Question

Итак, у меня есть два зависимых объекта, чей идентификатор передается в строке запроса, и, допустим, я не перехожу через родительский элемент, чтобы получить его, но я читаю его непосредственно через dao, и я могу сэкономить он также, не проходя через родителя. Что нужно делать на стороне клиента, или я должен проверить его, чтобы увидеть, соответствует ли идентификатор родителя в строке запроса id родительского элемента, связанного с дочерним элементом, полученным с помощью dao?

/родитель/123/ребенок/15

Answer 1

Если есть соображения безопасности (разрешение на редактирование конкретного ребенка), то вы, безусловно, хотите проверить родительский идентификатор. Если кто-то владеет родительским/23 и его childern, но у них нет родительского/24, вы не хотели бы, чтобы они изменяли URL-адрес и изменяли родительский 24-х.

Если это не так, у вас, вероятно, нет причин даже передавать родительский/родительский идентификатор