Q&A
SQLの勉強をしており、会員登録とイベント登録、編集ができるような仮のWebシステムを組んでおります。
現在だとイベントIDが連番のため、Aさんが作ったイベントをBさんも無理やり編集できてしまいます。
※ URLのgetにてイベントIDが見えてしまうため。
https://hogehoge.com?id=1 みたいなイメージ
こういったサービスを作る場合、下記のどのパターンで構築することが多いのでしょうか。
① イベント登録をしたユーザかチェックしてから、UPDATE文を投げるようにする
② 会員登録時に権限付与?みたいなことを行う
③ その他
②に関しては調べてみると、権限付与?みたいな機能がそもそもあるみたいなのですが、
テーブルの条件に合うものに対して許可するみたいな設定方法がわかっておりません。
権限付与の参考
https://www.atmarkit.co.jp/ait/articles/1703/01/news191.html
回答1件
0
ベストアンサー
登録者も更新者も絶対に変わらない仕様なのであれば登録者をupdateのwhere条件に入れれば良いのでは。
ログインしてるならその人のidですね。
そしたら違う人であればupdateは0を返すので更新失敗となります。
そもそも編集画面にいった時点で登録者でなければ参照モードで表示とか参照画面にリダイレクトさせるとかの配慮も必要です。
(もちろん編集画面への遷移リンクも登録者のみ表示)
というか、MySQL側の対応ではないように思います。
投稿2021/07/01 05:25
総合スコア80875
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2021/07/01 05:33
2021/07/01 05:44