【发布时间】:2017-02-08 21:12:58
【问题描述】:
我有帖子,用户可以在其中删除或编辑它们。当我重定向它们时,我正在发送带有 ID 号的 url,例如:test.dev/delete/15,其中 15 是我应该删除的帖子 ID。然后我测试了像route('delete',['id' => $post->id])这样的路由发送id。最后我意识到这两种方法都包含url中的id号。我的意思是,对于 url,它显示 url test.dev/delete/15,对于 route 它显示 test.dev/delete?id=15
所以我想知道我们是否可以发送 id,而不在 url 中显示它们,恐怕好奇用户可能会尝试利用这些缺陷
【问题讨论】:
-
通过请求尝试
-
通过隐藏输入字段发送 id。
-
您需要在控制器中检查是否允许发出请求的人删除该项目。如果有人试图删除不属于他们的东西或者他们没有正确的权限,只需将用户返回到其他地方或返回到他们来自的地方
-
@Eitan 我怎么能在 Blade 模板中做这样的请求,你能举个例子吗?
-
@Adam,是的,我正在这样做。那么除了在Back-End中检查之外,没有其他实用的方法了吗?
标签: laravel url url-routing