Przekazywanie danych przez GET a poufność Opcje

[Azek]

Tworzę trochę bardziej rozbudowany projekt oparty na bazie danych. W skrócie wygląda to tak, że wyświetla się tabela z danymi i w każdym wierszu są przyciski: do zmian, do usunięcia.
Przykładowo mamy stronę z listą zamówień.
Problem jest następujący: jak przekazywać id zamówień między stronami? Można by użyć GET i mieć coś takiego:
| zamowienie1 | detale_zamowienia.php?id=1 | zmien_zamowienie.php?id=1 | usun_zamowienie.php?id=1 |
| zamowienie2 | detale_zamowienia.php?id=1 | zmien_zamowienie.php?id=2 | usun_zamowienie.php?id=2 |
Można też zrobić przez POST i ukryte pola z id. Pierwszy wariant jest wygodny, ponieważ można zapisać zakładkę bezpośrednio do zamówienia, ale mało bezpieczny, gdyż mogę podmienić numer i np. podejrzeć zamówienie, którego nie powinienem móc widzieć. Drugi wariant nie pozwala na zapisanie zakładki, ale jest trochę bezpieczniejszy, bo zmiana id wymaga już większej wiedzy i działań. Byłbym skłonny użyć GETa, jeśli istniałby sposób na przekazanie w linku danych, ale w jakimś stopniu zabezpieczonych przed zmianą.
Czy spotkaliście się z potrzeba "zaciemnienia" danych i jak to rozwiązaliście?

[markuz]

Jest coś takiego jak uprawnienia - jeżeli dana osoba nie powinna widzieć lub edytować jakiegoś zamówienia to po wejściu na np. produkt.php?id=5 powinna dostać informację, że nie ma dostępu do tego produktu, o tym pisał @trueblue wyżej i tak to powinieneś rozwiązać.

Możesz też robić zaciemnienia np. poprzez http://hashids.org/php/, ale to nie zabezpieczy systemu a tylko niepotrzebnie go skomplikuje.

Ten post edytował markuz 19.04.2018, 23:06:51