ユーザ認証されたページの編集システムについての考え方について質問です。
ユーザIDとタイトル名や文章などが入っている記事一覧テーブルがあったとします。
そして、ログインユーザは自分の記事一覧しか編集できないようにします。
編集画面において、記事詳細画面へ記事IDをgetで送ってしまうと、URLの一部を自分の記事IDのものではないものに書き換えられた場合、その他のユーザの編集ができてしまうのでしょうか。もし、postで送りたい場合、記事一つにつき、formhelperで作っていき、その中のhiddenタグに記事IDを入れて送ればよいのでしょうか。
- getで送るメリット
どれくらい記事が今まで蓄積されたかがわかる。
- getで送るデメリット
他人の記事の編集をされてしまう?
- postで送るメリット
他人の記事の編集抑制
- postで送るデメリット
getに比べてコードが面倒?
ぐらいしか今は思いつかないのですが、その他にセキュリティ的な考え方や考えなければいけないことがあれば教えてください。
回答1件
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2016/08/24 07:42