Ver Mensaje Individual
  #1 (permalink)  
Antiguo 11/04/2015, 13:06
Avatar de Hyemin
Hyemin
 
Fecha de Ingreso: agosto-2014
Mensajes: 147
Antigüedad: 10 años, 4 meses
Puntos: 0
Solicito consejo de seguridad para una funcion de eliminar

me dan un consejo de seguridad?

Estoy haciendo un blog, hice un backend con autenticacion de usuarios donde se puede agregar/editar y eliminar noticias.

Controlo por sesiones que ninguna de esas paginas sea accesible por un usuario no valido pero el tema es que me gustaria evitar que reciba los parametros por URL manualmente.

Es decir, cuando un usuario ingresa a su pagina ve unicamente sus articulos en una tabla y puede eliminarlos, cuando hace clic en "eliminar" se le pregunta si realmente quiere borrar el registro y en caso afirmativo se le envia eliminar.php el ID de la noticia el cual procesa lasolicitud y la borra.

Ahora, si el usuario registrado ingresa manualmente la URL ****/eliminar.php?id=10 por ejemplo, la noticia se borra y eso hace que pueda borrar noticias de otros usuarios.

Hay alguna forma de prevenir que pueda hacer eso?

Por ahora voy a modificar la funcion borrar para que valide el autor de la noticia pero pregunto si no hay opciones mas simples