W dniu 2015-01-07 o 16:41, Jordan Szubert pisze:

>
> może i coś się da wykombinować w tę stronę, ale czemu? jeżeli użytkownik
> ma prawo edytować 1 i 2, to czemu nie akceptować edycji do 1 i 2, a
> odrzucać do 3 niezależnie od tego, czy i kiedy 1 i 2 zostały wysłane do
> użytkownika do oglądania i może edycji?
>

W dobrą stronę kombinujesz. Moją intencją jest ograniczenie do edycji #2
bo nie ma pewności, że użytkownik ma prawo do edycji / wyświetlania /
edycji / itp #1 i #3. Zabezpieczenie realizuję w tym CMS na poziomie
formatki każdego dokumentu. Formatka zawiera wstawione specjalne tagi,
które zastępowane są pracą modułów programowych. Pierwszy z nich zwykle
bada czy dany użytkownik ma prawo do wyświetlenia danej strony - i jeśli
nie, to przekierowuje Na "sorry, nie masz uprawnień". Pozostałe moduły
generują treść itp. Jest tam też JS, który np. pozwala dodawać / usuwać
obrazki. Jeśli z poziomu JS przekażę w Ajaxie polecenie "usuń obrazek #1
z w/w dokumentu #2" to dociera ono do elementu PHP nie związanego z
dokumentem #2 np. ajaxZarzadzaObrazkamiDokumentu.php. Muszę go więc
jakoś poinformować, że grzebiemy ID #2 i mamy skasować w nim obrazek #1.
No i jeśli teraz ktoś podmieni w przeglądarce to co Ajax ma wysłać, to
może w dowolnym innym dokumencie skasować obrazek #1. Musiałbym dublować
walidację uprawnień w PHP, czego wolałbym uniknąć. Dlatego byłoby
sensownie "niejawnie" poinformować w/w plik PHP, że działa w kontekście
dokumentu #2.

Szukam najprostszego rozwiązania.

--
Pozdrawiam,
Marek