Параметры строки запроса и подделка

Question

Итак, давайте, у меня есть два зависимых объекта, чьи идентификаторы я передаю в строке запроса, и, скажем, я не иду через родительский элемент, чтобы получить дочерний элемент, а скорее читаю дочерний элемент напрямую через dao, и я также могу сохранить его, не переходя через родителя. Что нужно делать на стороне клиента, или я должен даже проверить это, чтобы увидеть, соответствует ли идентификатор родителя в строке запроса идентификатору родителя, связанного с дочерним элементом, полученным через dao?

/ родитель / 123 / ребенок / 15

Answer 1

Если есть соображения безопасности (авторизация для редактирования конкретного дочернего элемента), то вам, безусловно, нужно проверить идентификатор родителя. Если кому-то принадлежит родитель / 23 и его ребенок, но у него нет родителя / 24, вы не захотите, чтобы он изменил URL-адрес и изменил ребенка 24-го ребенка.

Если это не так, у вас, вероятно, нет никаких причин даже передавать parent / parentID