Правильно ли так делать?

Question

alex-vod @alex-vod

Правильно ли так делать?

Правильно ли будет с точки безопасности, если я использую id пользователя чтобы вывести его запись? Например мне нужно показывать пользователю лишь его записи и чтобы он не мог видеть, редактировать чужие записи. Будет ли правильно если я записываю его id в сессию а потом проверяю принадлежит ли запись этому id?

Вопрос задан более трёх лет назад
279 просмотров

Комментировать

Подписаться 1 Оценить Комментировать

Решения вопроса 1

5 комментариев

alex-vod @alex-vod Автор вопроса

А вот тут я не понял, что ха хеш и где мне его хранить?

Написано более трёх лет назад
thatside @thatside

alex-vod: хеш - закодированная каким-то образом строка. Ее особенность - односторонняя кодировка: у одинаковых ID хеш будет одинаковым, но по нему нельзя восстановить сам ID. Хранить его можно так же, как Вы собирались хранить ID. А само хеширование - можно почитать про MD5, к примеру. Правда, я не помню, есть ли в PHP своя реализация этой функции.

Написано более трёх лет назад
alex-vod @alex-vod Автор вопроса

thatside: что такое хеш я знаю, а вот не понятно где его хранить если я его сделаю. Я понял что сначала я получаю в сессию id пользователя, потом этот результат хеширую, потом получаю user_id из нужной записи и тоже хеширую, потом проверяю хеш сессии id и хеш user_id из таблицы записи. Правильно ли я понял?

Написано более трёх лет назад
thatside @thatside

Возможно, я не совсем понял цель идеи. Проблема в том, чтобы не показывать пользователю его ID?

Написано более трёх лет назад
alex-vod @alex-vod Автор вопроса

thatside: нет. Вот например, на сайте есть добавление новости, при ее добавлении в базу в таблицу с новостью также записывается в поле user_id идентификатор того кто создал эту новость. Задача в том, чтобы показывать пользователю ЕГО новости или записи, неважно что, и давать редактировать и удалять ему лишь записи которые создал он. Для этого его id вписан в поле user_id. Так вот как можно выводить эти его записи? В вопросе у меня вариант: в сессию записывать его id когда он входит и уже по нему выводить именно его записи...

Написано более трёх лет назад

Пригласить эксперта

Ответы на вопрос 1

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

PHP

+1 ещё

Средний
Интересует простой скрипт стены комментариев с возможностью добавить фото и мгновенным выводом на страницу?
- 1 подписчик
- 6 часов назад
- 36 просмотров
0

ответов
PHP

+1 ещё

Средний
Как получить телефон из Google OAuth 2.0 API?
- 1 подписчик
- 14 часов назад
- 41 просмотр
1

ответ
PHP

+1 ещё

Средний
Как запускать PHP в терминале Netbeans?
- 2 подписчика
- 14 часов назад
- 133 просмотра
0

ответов
PHP

+1 ещё

Простой
Где ошибка в коде при создании древа в sql из файла?
- 1 подписчик
- 15 часов назад
- 82 просмотра
0

ответов
PHP

+1 ещё

Простой
Как в php формировать ответ на AJAX XMLHttpRequest запрос?
- 1 подписчик
- вчера
- 98 просмотров
0

ответов
PHP

+2 ещё

Средний
Запросы soap в инфоклинику на php?
- 1 подписчик
- вчера
- 136 просмотров
2

ответа
PHP

Простой
Не работает часть скрипта PHP при смены PHP 7 на 8?
- 1 подписчик
- 22 апр.
- 207 просмотров
3

ответа
PHP

Средний
Как найти в массиве ответа API нужное значение, при том что значение может быть написано в разном регистре?
- 1 подписчик
- 22 апр.
- 143 просмотра
3

ответа
PHP

+1 ещё

Простой
Как отправить сообщение в определенную тему в группе Telegram боту на PHP?
- 1 подписчик
- 22 апр.
- 93 просмотра
1

ответ
PHP

+1 ещё

Простой
Почему не работает JWT поверка?
- 1 подписчик
- 22 апр.
- 72 просмотра
0

ответов
Показать ещё Загружается…

PHP Developer

YCLIENTS • Москва

от 200 000 до 350 000 ₽

PHP разработчик

Ведисофт • Екатеринбург

от 25 000 ₽

Midlle PHP developer (backend)

ИТЦ Аусферр • Магнитогорск

от 100 000 до 160 000 ₽

Спарсить TON PLACE: скрейпинг фото и текста с анкет по списку URL

25 апр. 2024, в 05:57

3000 руб./за проект

Правки в webApp готового и написанного телеграмм бота next, tailwind

25 апр. 2024, в 05:29

25000 руб./за проект

Фронтер - DevOps. Развернуть фронт на хостинге. Прокинуть в телегу-бот

25 апр. 2024, в 04:38

10000 руб./за проект

Answer 1 · 2015-05-09 19:01:47

Чтобы не светить конкретно сами ID - можно записывать его в сессию в виде какого-либо хеша, и проверять соответствие не user_id <=> owner_id, а hash(user_id) <=> hash(owner_id)

Answer 2 · 2015-05-09 20:37:36

Да, вы можете хранить ID пользователя в сессии. Обычно так и делают: хранят auth_token, user_id и username, например.
Таким образом, вы в любой точке приложения можете получить всю информацию о текущем пользователе: вывести его имя, например. Или же сформировать ссылку для редактирования новости.

Только не забудьте, что на странице редактирования новости необходимо проверить - есть ли права у текущего пользователя на редактирование именно этой новости (показать/спрятать ссылку - мало, необходимо точно убедиться, что права на совершаемое действие есть).

Правильно ли так делать?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт