Paramètres de chaîne de requête et falsification

Question

Donc, j'ai deux objets dépendants dont je passe l'identifiant dans la chaîne de requête, et disons que je ne passe pas par parent pour obtenir l'enfant mais je lis directement l'enfant via dao et je peux enregistrer il aussi, sans passer par parent. Que devrait-on faire côté client, ou devrais-je même vérifier pour voir si id du parent dans la chaîne de requête correspond à l'id du parent associé à un enfant récupéré via dao?

/parent/123/enfant/15

Answer 1

S'il y a des considérations de sécurité (autorisation pour la modification d'un enfant en particulier), alors vous avez vraiment envie de vérifier l'ID parent. Si quelqu'un possède parent/23 et son childern, mais ne possède pas parent/24, vous ne voudriez pas qu'ils modifient l'URL et changent le childern du parent 24.

Si ce n'est pas le cas, vous n'avez probablement aucune raison de passer le parent/parentID