D
ограничить пользовательские действия
Size: a a a
2020 June 17
SC
Ребята может не совсем я правильно понял но смотрите какой вопрос. Есть на сайте учётки Миши и Пети. Есть сообщения Миши и Пети .... Миша удалил свое сообщение и увидел запись - путь + айди записи удаление. Он взял запустил постмана и удалил все записи Пети подставляя случайные номера айди. Это реально так и как от этого защищаться другие сайты.
Проверять принадлежность сообщений юзеру, отдавать на фронт uuid вместо инкрементальных id
D
ну и id можно заменить на uuid
D
как в блоге, только автор-юзер может удалять свои записи, помимо админа
🎃
Ребята может не совсем я правильно понял но смотрите какой вопрос. Есть на сайте учётки Миши и Пети. Есть сообщения Миши и Пети .... Миша удалил свое сообщение и увидел запись - путь + айди записи удаление. Он взял запустил постмана и удалил все записи Пети подставляя случайные номера айди. Это реально так и как от этого защищаться другие сайты.
if($post->author->is($auth_user) || $auth_user->isAdmin()) {
$post->delete();
}
$post->delete();
}
SG
if($post->author->is($auth_user) || $auth_user->isAdmin()) {
$post->delete();
}
$post->delete();
}
Какой ужас =)
🎃
Какой ужас =)
?
SG
Зачем вообще пускать в экшен контроллера
SG
Если можно отловить его еще на уровне реквеста, а еще лучше политики
🎃
это он уже сам пусть разбирается
S
Спасибо всем. Просто обратил внимание что нашел два блога и там есть авторизация для коментов и подписок .... И этого достаточно что бы удалить все на блоге))))
🎃
миддлвары, политики, authorize, callAction
EG
if($post->author->is($auth_user) || $auth_user->isAdmin()) {
$post->delete();
}
$post->delete();
}
WTF при правильной настройки policy достаточно будет Gate::authorize('delete', $post) в контролере или FormRequest
а можно использовать посредник can:delete
https://laravel.com/docs/7.x/authorization#policy-methods
а можно использовать посредник can:delete
https://laravel.com/docs/7.x/authorization#policy-methods
VY
а сегодня работает, но все рано спасибо за ответы)
удачный день :)
AN
возможно, вчера я почти три часа не мог понять почему не срабатывает как должно
Д
Привет. А скажите, часто замечаю офферы про работу где вот именно нужно знать symfony.
А laravel какой то не популярный.
Ещё недавно видел в твиттере один чувак писал твит к Otwell-у насчёт того что он не видел больших проектов на laravel. Что не так с Ларой?))
А laravel какой то не популярный.
Ещё недавно видел в твиттере один чувак писал твит к Otwell-у насчёт того что он не видел больших проектов на laravel. Что не так с Ларой?))
Gt
Привет. А скажите, часто замечаю офферы про работу где вот именно нужно знать symfony.
А laravel какой то не популярный.
Ещё недавно видел в твиттере один чувак писал твит к Otwell-у насчёт того что он не видел больших проектов на laravel. Что не так с Ларой?))
А laravel какой то не популярный.
Ещё недавно видел в твиттере один чувак писал твит к Otwell-у насчёт того что он не видел больших проектов на laravel. Что не так с Ларой?))
Зависит от того, что считается «большим проектом». Действительно, тырпрайз на Симфони делать правильнее.
Gt
> А laravel какой то не популярный.
Потому находится в тени таких «гигантов», как, например, прости господи, Yii.
Потому находится в тени таких «гигантов», как, например, прости господи, Yii.
А
> А laravel какой то не популярный.
Потому находится в тени таких «гигантов», как, например, прости господи, Yii.
Потому находится в тени таких «гигантов», как, например, прости господи, Yii.
И этими губами ты целуешь свою маму?