CakePHP的保存數據，檢查是否屬於authed用戶

Question

這是它的外觀：

網址：/Category/Edit/(category.id）

控制器：

從類別

負荷信息和把它編輯成 - >提交表格 &那麼你有：

$ this-> Category-> id = $ id;

$ this-> Category-> save（$ this-> request-> data）;

因爲它從url獲取id，所以很容易將其更改爲屬於另一個用戶的id 如何確保它是否執行檢查，如果該類別屬於authed用戶。

協會已經作出，用戶 - >類別（一對多）

但在寫這篇，我可能已經找到了一些東西，我可以在模型 使用beforeSave如果您有任何想法，這可怎麼做得更好，讓我知道。

謝謝

Answer 1

有幾件事情：

1. 的ID應該在發佈的數據，而不是在提交的URL
2. 使用安全組件，以幫助保持形式被篡改
3. 您的網址例子應該是「/categories/edit/(category.id）」
4. 建立模型的方法，而不是僅僅使用默認save()從C ontroller。在您的方法中，您可以檢查以確保類別的所有者（基於user_id字段）與登錄的Auth用戶的相匹配。