我正在Laravel上创建一个包含部分,主题和评论的论坛。 用户可以在部分上创建线程,并在线程上添加注释。 我的问题是,当用户在一个节上创建线程时,我正在通过隐藏的输入值发送节ID,并且如果用户编辑该值,他可以在其他节中发布。
最佳做法是什么?还是有什么办法从控制器或类似的东西中获取该ID?谢谢
答案 0 :(得分:1)
隐藏的表单输入值不能真正用于向用户隐藏某些内容。他们只是在视觉上隐藏价值。
如果只允许用户编辑自己的线程,则应在两个位置进行检查:
检查很简单。该用户应已登录,因此在该用户的会话中,您已经存储了用户ID。在威胁的数据库行中,您还存储了谁编写了该线程。这可能是用户标识。因此,您可以比较这两个值:它们应该匹配。