1

我正在尝试在 CRUD 中对 PHP 进行建模,并且想知道检查用户授权的最佳方法是什么,以便他们只能编辑自己的内容?

例如:

abc.com/post/delete.php?id=3

如何防止已登录的用户编辑其他人的帖子?

我目前的方法是:

  1. 成功登录后在会话中存储用户 ID
  2. 请求 DELETE 方法时,从会话中加载 User_ID
  3. 查询 = 从帖子中删除,其中 user_id = $user_id AND id = 3

这样,如果用户可以修改ID参数,他们就无法操作存储的会话变量user_id

这是正确的方法吗?

4

1 回答 1

1

我建议使用您的逻辑,但我通常存储用户 ID + 访问令牌

Access token is an hash for example sha256(username+lastname+registered_datetime); and i put it to cookie

因此,您将有一个额外的安全字段,只需在用户登录时检查身份验证令牌是否正常

于 2013-04-13T12:00:44.337 回答