Это общий вопрос.Запретить пользователю изменять идентификатор перед обновлением в WebApps
У меня есть сомнения в отношении идентификаторов в операциях CRUD и других действиях, в которых должен быть отправлен идентификатор.
Я имею в виду, что независимо от того, какая технология используется, результатом будет html-форма, в которой идентификатор будет находиться во входном поле внутри формы (возможно, из-за тусклой, скрытой, но всегда присутствует). Учитывая этот способ, пользователь может модифицировать entityId с помощью firebug (например) и отправить форму с другим идентификатором, это позволит пользователю обновлять или даже удалять запись, которая не была оригинальной.
<form>
<input id="entityId" type="hidden"/>
<input id="someName" type="button"/>
</form>
Как я могу справиться с этой ситуацией? Первым решением, которое я пытаюсь сделать, является select by userId и entityId, поэтому я могу позволить пользователю обновлять только свои собственные записи, НО он все равно может изменить идентификатор и внести изменения в другие записи, принадлежащие ему.
Как я могу ограничить больше пользователя внесением изменений только в записи, показанной веб-приложением?
Заранее спасибо
Возможно, с вашей стороны сервлета установите текущую сущность для пользователя в переменной сеанса и убедитесь, что они совпадают. –
Вам нужно проверить, что представленные значения действительны, и у них есть разрешение на их изменение. –
@AndrewBarber. Я думаю, OP знает об этом и спрашивает, как –