( saxus | 2012. 10. 04., cs – 22:49 )

Ki mondta, hogy az user a saját adataihoz fér hozzá? Ld. hupon a profil oldalt meg a track oldalt. Attól, hogy userid, még nem biztos, hogy a saját userid.

Az meg hogy GET vagy POST vagy COOKIE az totálisan irreleváns. Kliens oldaltól érkező adat => meg kell győződni arról, hogy valóban az-e, amire számítunk, minden egyéb esetben meg kell tagadni a kérés kiszolgálását.

És ez totálisan független a jogosultságkezeléstől, session hijackingtól és más egyéb, magasabb szintű funkcióktól.

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™