【发布时间】:2017-10-03 19:57:23
【问题描述】:
直接写sql命令时,很容易指定删除哪些记录(例如,通过指定ID等)。
但是在网页中,如果您有一个指定不同记录的链接列表(其中 id 嵌入作为查询参数),您如何确保用户只是不编辑链接中的 id,以便他可以删除不同的记录吗?
例如,假设我有以下链接:
<a href="foo.com/deleterecord/1121">delete</a>
用户可以轻松复制粘贴链接,将 1121 更改为 1123,并删除一些他不应该访问的其他记录。
所以我的问题是,在您的架构中,您如何允许用户选择要删除的记录(通过单击链接),但同时防止用户编辑链接以删除其他记录?还是在数据库层处理?
【问题讨论】:
-
您应该检查服务器端的所有内容。另外,我会改为通过 $_post 发送 http
标签: javascript jquery html node.js postgresql