我正在尝试在 CRUD 中对 PHP 进行建模,并且想知道检查用户授权的最佳方法是什么,以便他们只能编辑自己的内容?
例如:
abc.com/post/delete.php?id=3
如何防止已登录的用户编辑其他人的帖子?
我目前的方法是:
- 成功登录后在会话中存储用户 ID
- 请求 DELETE 方法时,从会话中加载 User_ID
- 查询 = 从帖子中删除,其中 user_id = $user_id AND id = 3
这样,如果用户可以修改ID
参数,他们就无法操作存储的会话变量user_id
。
这是正确的方法吗?