Отправка данных через href get Route Methode - PullRequest
Новая
       23

Отправка данных через href get Route Methode

0 голосов
/ 23 июня 2018

Я строю get Методный маршрут для хранения данных через контроллер в базе данных mysql. Здесь вы можете увидеть часть моего взгляда 

@foreach($groupsrequest as $grouprequest)
        <a class="btn btn-primary btn-block" href="{{ route('mgmtgroups_approvel', ['idgroup' => $grouprequest->idgroup, 'iduser' => $grouprequest->iduser]) }}">               
            Gruppe <strong>{{$grouprequest->group_name}}</strong> Anfrage von User <strong>{{$grouprequest->username}}</strong>
        </a>
@endforeach

И это мой файл веб-маршрута, который передает данные в контроллер, где эти данные будут храниться в базе данных mysql. 

Route::get('/home/groupmgmt/approvel', 'GroupController@setGroupApprovel')->name('mgmtgroups_approvel');

Теперь моя проблема, после того, как я нажал на кнопку href, я получил следующий URL 

http://localhost:8000/home/groupmgmt/approvel?idgroup=18445&iduser=123

и я могу изменить параметр url и нажать ввод, после чего данные будут сохранены. Но это не может быть правильным, потому что я могу хранить поддельные данные в БД. Я могу, например, создать идентификатор пользователя, который не существует. Как сделать это правильно, чтобы это было невозможно, и в БД могут быть сохранены только те данные, которые показаны в представлении ранее?

1 Ответ

0 голосов
/ 23 июня 2018

Вы можете использовать существует тип проверки laravel для проверки существования идентификатора пользователя.

Кстати, если идентификатор является идентификатором вошедшего в систему пользователя, вам не нужно его передаватьчерез параметры запроса вы можете просто получить его, используя Auth::id() функцию laravel.

Также я предлагаю вам использовать метод POST вместо GET и добавить токен csrf в запрос для повышения безопасности.Также вы должны проверить запрос, чтобы убедиться, что никто не может вставить недопустимые данные в базу данных.Например, если это сценарий подтверждения регистрации, вы должны убедиться, что данный идентификатор запрашивается для регистрации в группе, в противном случае вы должны показать пользователю ошибку.

...