в веб-приложении один юзер теоретически может узнать инфу другого юзера, если имеет доступ к той же таблице что и он, но хочет увидеть те строки таблицы которые не предназначены для него, зная номера этих строк. я вижу вопрос в том, как ограничить разных юзеров в просмотре разных строк одной и той же таблицы.

иногда в параметрах запроса веб-приложений требуется пересылать значения ключей базы данных, внешних или первичных. но если такой запрос будет перехвачен или подобран другим юзером то он зная это значение сможет получить доступ к чужим данным. предлагают зашифровывать значение ключа, передаваемое в параметре, уникальное для юзера который отправляет запрос, и на стороне сервера исходный ключ будет вычислен по формуле включающей айди пославшего запрос, и запрос к бд пойдёт уже с вычисленным нормальным ключом.

у меня лично самое простое решение крутится в голове — в сессии хранить айдишник юзера, и в каждой строке таблицы иметь поле — айди того кто создал эту строку, и плясать от этого. но вот я видел другое немного решение, которое выше в посте описал, и мне интересно что про это скажут профи.

я в вебе не силён, только начинаю изучать, поэтому интересуюсь, насколько оправдано такое решение среди спецов и как они подходят к такому вопросу. киньте пару ссылок если можно.

MasterZiv,

говоря проще, для примера, конечный результат который я хочу получить -
если я скопирую ссылку из одноклассников, и передам эту ссылку другому юзеру, то он её открыть ведь не сможет, так ?
его просто выбросит на его же главную страницу. вот как добиться аналогичного поведения в моём веб-приложении ?