[PHP][inne]Zabezpieczenie przed zmianą zmiennej GET w adresie URL Opcje

[odkuszacz]

Witam,
produkuję serwis, w którym będą między innymi prezentowane artykuły użytkowników.
Jedną z podstawowych funkcjonalności będzie możliwość edycji artykułu. Tyle wprowadzenia - teraz do celu.
Po zalogowaniu na swój profil i wyborze edycji artykułu mam adres np.: http://www.jakasnazwa.pl/edycja_artykulu.php?idart=45678.
Użytkownik może w pasku adresu przeglądarki zmienić idart i z dużym prawdopodobieństwem wpisać wartość odpowiadającą już zapisanemu w bazie artykułowi innego użytkownika i wtedy może go pozmieniać. Czy moglibyście podpowiedzieć jak to zabezpieczyć?

Za pomoc przedszkolakowi z góry wielkie dzięki (IMG:style_emoticons/default/smile.gif)

[phpion]

Po pobraniu artykułu z bazy sprawdź czy jego autor to aktualnie zalogowana osoba. Jeśli nie to zrób co uważasz (np. die('giń!')). Tyle.

Innym rozwiązaniem jest dodanie drugiego warunku do samego zapytania czyli WHERE id_artykulu = 45678 AND id_autora = X gdzie X to identyfikator aktualnie zalogowanego użytkownika.

[thek]

Ja najczęściej robię tak:
1) User ma prawa admina/moda -> zapytanie jest z WHERE id = id_artykulu
2) user to szarak: -> zapytanie jest z WHERE id = id_artykulu AND owner_id = id_usera (najczęściej z sesji)
Zawsze to ciutkę mniej rzeczy do przesłania między bazą i skryptem.

[Magic WWW]

Dodam, żeby dodać w PHP sprawdzanie czy idart jest liczbą (IMG:style_emoticons/default/smile.gif)

[PHP] pobierz, plaintext 
if(!is_numeric($_GET['idart']))
{
 exit('Error');
}
[PHP] pobierz, plaintext 

[thek]

Ja zazwyczaj mam bardziej rozbudowane...

[PHP] pobierz, plaintext 
if( isset( $_GET['idart'] ) && ctype_digit( $_GET['idart'] ) && $_GET['idart'] > 0 )
[PHP] pobierz, plaintext 

lub zamiast isset daję

[PHP] pobierz, plaintext 
array_key_exists( 'idart', $_GET )
[PHP] pobierz, plaintext 

[odkuszacz]

Dzięki wielkie za pomoc. Działa (IMG:style_emoticons/default/biggrin.gif)

[mat-bi]

A nie łatwiej przeprowadzić rzutowanie?