firebugでテーブルデータが操作されたかどうかを確認する最も簡単な方法は

Question

私は明らかに各行にIDを持つテーブルを持っています。ユーザーがテーブルの行をクリックすると、彼は完全なデータを表示している別のページに移動します（別のページは、実際にロードイベントの後に表示されていない同じページです）。

jqueryでclickイベントを取得してから、jquery loadにidを送信すると、データが読み込まれます。

これは問題です。ページを使用している人が火かき棒をインストールしている場合、彼はテーブル上のIDを操作し、アクセスしてはならないものにアクセスすることができます。

私は、そのユーザーがアクセスできるIDをチェックする関数を記述しなければなりませんでした。

function checkID($searchColumn,$userColumn,$tablename,$table_id,$user_id) 
{ 
    Global $db; 
    $query = "SELECT `{$userColumn}` FROM $tablename WHERE `{$searchColumn}`=?"; 
    //echo $query; 
    $stmt = $db->prepare($query); 
    $stmt->bind_param('i',$table_id); 
    $stmt->execute(); 
    $stmt->bind_result($myuser_id); 

    if($stmt->fetch()) 
    { 
     if($myuser_id==$user_id): 
      return true; 
     else: 
      return false; 
     endif; 
    } 
} 

上記の関数は、基本的に、ユーザーがそのidにアクセスできるかどうかによって、trueまたはfalseを指定します。

サーバーサイドのFirebugでデータが操作されたかどうかを確認する良い方法はありますか？

基本的には、サーバーに送信されるIDが、テーブルにある同じIDであり、かつ、firebugによって操作されていないことを確認したいと思います。私の機能が働いても、おそらくもっと簡単な解決法があると思っています。専門家は何をしていますか？

Answer 1

クライアントからのデータ常には、サーバー側で検証され、サニタイズされる必要があります。

I.e. $searchColumn,$userColumn,$tablename,$table_idおよび$user_idがリクエスト変数として指定されている場合は、それぞれの妥当性をチェックする必要があります。特に$userColumn,$tablenameおよび$searchColumnは、prepare()に電話する前に追加されているため、SQLインジェクションについては注意深く確認する必要があります。
柔軟性が必要ない場合は、テーブル名と列名を文字列に入力する必要があります。

ユーザーIDをサーバー側に（セッション変数として）保持し、ログイン時に一度だけ設定することもできるので、チェックを完全に取り除くことができます。ただし、ユーザー・データを参照する表にはユーザーIDを持つ列が必要です。

ユーザーが表示されるはずのデータにのみアクセスできるようにするには、ユーザーIDをクエリに含める必要があります。

例：

あなたはm個の関係を1に注文と注文項目を持っている想像してみてください。自分が作成した注文のリストをユーザーに表示します。ユーザーがアイテムを表示するための注文を選択すると、ユーザーIDをクエリに含めて、ユーザーが他のユーザーの注文にアクセスできないようにすることができます。

その後SELECT文は次のようになります。

SELECT oi.name, 
     oi.description 
     oi.price 
FROM order_item oi 
INNER JOIN order o ON o.id = oi.order_id 
WHERE o.id = ? 
    AND o.userID = ? 

ユーザーが他のユーザーのためのIDを提供する場合、すべての項目が返さがありません。

これは、最初にorderテーブルに対してクエリを作成して、その注文がユーザーに割り当てられているかどうかを確認し、そうであれば注文アイテムに対してクエリを実行することによっても実行できます。