Cita:
Iniciado por ArturoGallegos Estoy suponiendo que es un catalogo de productos, lo que yo suelo hacer es que al enviar el formulario con X pedido, no envió el precio del producto en cuestión, solo se enviá el ID del producto, y datos relevantes para el envió o facturación.
Si enviás el precio como has mencionado estas expuesto a que lo cambien, pero si solo enviás el basta con obtener los productos en de la base de datos en ese momento., de esa forma importa un cacahuate si alguien cambia el precio o no en el front.
El tema es que es una lista de precios donde mis clientes no son el comprador final, mi clientes son quienes tienen productos ahí exhibidos, entonces ellos sí deberían poder modificar sus precios....y lo hacen. El problema es que el hackeo lo produjo un tercero que ingresó a uno de esos users y manejando externamente los valores del form modificó todos los precios a un mismo monto...
Ese es mi reto: debo dejar que puedan cambiar precios, pero quien lo haga sólo debería poder cambiar a su usuario (el cual es controlado con una variable session) pero de alguna forma se las ingeniaron para modificar los precios de todosss los usuarios...