mam zmienił wykonany z ostrzem edytować zasób, tak:laravel chronić formularza ukrytych pól i url
{{Form::model($post ,['action'=> ['[email protected]', 'id' => $post->id], 'method' => 'post'])}}
który generuje formularz z działaniem
http://example.com/posts/edit/123
i moich polach, mając tekst i ukryte dane wejściowe
Widząc ten adres URL, bardzo zła użytkownik może zaktualizować inne posty.
Jak mogę zabezpieczyć trasę, aby nie zadziałała, jeśli identyfikator zostanie zmanipulowany przez inspektora? Czy jest jakiś wbudowany wat, który tokenizuje identyfikator, aby upewnić się, że pasuje? Czy to też można zastosować do wszystkich ukrytych danych wejściowych?
Dzięki
EDIT:
Przykładem na moim ukrytym wykorzystanie pola: Moje posty są zwykle pytania i odpowiedzi, gdy użytkownik próbuje dodać odpowiedź na pytanie, ustawić question_id jako ukryty pole, i chcę to sprawdzić, nie jest manipulowane.
Czy masz na myśli to: http://laravel.com/docs/4.2/html#csrf-protection? –
Zamiast próbować chronić adresy URL, należy chronić dane przez uwierzytelnianie i autoryzację. Zamiast polegać na tym, że użytkownik nie zna właściwego adresu URL, powinieneś sprawdzić login i (jeśli to konieczne) uprawnienia użytkownika. – lukasgeiter
Już to robię $ this-> abortIfLoggedUserCantEdit ($ post-> user-> id); Chcę tylko bardziej ogólnej funkcji. – SkarXa