metoda GET, zabezpieczenie

Question

Witam, ucząc się PHP postanowiłem napisać prostą stronę z różnymi funkcjami. Mam pytanie odnośnie przesyłania danych metodą GET.

Otóż, chcąc usunąć jakiś post z bazy przechodzimy na stronę delete.php w której to wykonuje się zapytanie usuwające dane z bazy. W linku, metodą GET przekazujemy id usuwanego postu. Czy da się w jakiś sposób zabezpieczyć link aby nikt nie mógł go zmienić? Powiedzmy że mamy link ...id=49..., ktoś kto wie co znaczy id może go dowolnie zmieniać i usunie wszystko z tabeli, tak samo będzie w przypadku np edycji danych. Zauważyłem że na fb działa coś w tym stylu kiedy przechodzimy do naszego profilu, jeśli jednak chcemy zmienić id choćby o jedną cyfrę otrzymujemy informację że nie mamy takich uprawnień. Jak to się zabezpiecza? Pozdrawiam i z góry dzięki za pomoc :)

Answer 1

Trzymasz w sesji id zalogowanego usera chociażby i sobie sprawdzasz przy usuwaniu czy to co próbuje usunąć rzeczywiście "należy do niego", np. post czy komentarz.

Answer 2

Na FB prawdopodobnie każda akcja jest autoryzowana tokenem, ale to już jest wyższa szkoła jazdy i nie ma sensu, żebyś na początku zabawy się tym zajmował. W momencie kiedy zmienisz coś w parametrze, to już jest inny token i Ty go nie posiadasz wpisując ręcznie adres. Natomiast autoryzację tokenami często posiadają frameworki backendowe i one załatwiają to za Ciebie.

Wystarczy Ci autoryzacja użytkownika na podstawie logowania i zapisania jego sesji.