我目前正在开发一个基于 Symfony 1.4 的项目。我正在使用 sfDoctrineGuardPlugin 来验证我的两种用户:用户和管理员。对于每个模块和模块中的每个操作,我使用凭据来防止执行未经授权的操作。
但是我面临一个问题:例如,如果用户想要编辑项目,则 URL 将类似于frontend.php/project/edit/id/1。在这里,我们假设项目#1 属于他。现在,假设项目#2 不属于他。如果他键入 URL frontend.php/project/edit/id/2,他将有权访问编辑表单,并且将能够编辑不属于他的项目。
我怎样才能防止这种行为?
我想避免在显示编辑表单之前验证每个可编辑模型的所有权......但我可以做不同的事情吗?
你有什么好的做法或建议来防止这种行为吗?
非常感谢 !