Передача поля в контроллер из вьюшки без пападания поля во вьюшку

@Setsuna · Регистрация: 15.06.2010

Author24 — интернет-сервис помощи студентам

Здравствуйте. Имеется контроллер:

C#

public class TestController
    {
        public long personID;
 
        [HttpPost]
        public ActionResult SavePerson(BPersonEducations PersonEducations)
        {
            return null;
        } 
    }

И вьюшка:

C#

@model BPerson
 
    <div id="PersonEducationsDiv" style="width:400px;">
        
        <fieldset>
            <!--@Html.HiddenFor(m => m.PersonID)--> <!-- этого поля тут не должно быть -->
 
            <div class="input-control select">
                @Html.DropDownListFor(m => m.TypeID, null, String.Empty)
            </div>
 
        </fieldset>
    </div>

Как при вызове метода Test/SavePerson получить поле personID не отправляя его во вьюшку? Чтобы никакой добрый человек не смог при сохранении поменять айдишник.

@Tessen · 03.04.2014, 00:54

Не по теме:

что знают двое знает и свинья, в вашем случае двое - клиент и сервер

вам нужна валидация полученного Id на стороне сервера. если у человека есть права редактирования персоны с этим Id - не все ли равно получил он их тыкнув на кнопку или подменив Id на форме?
если прав нет - сервер отправит человека гулять

@Setsuna · 03.04.2014, 07:31 **[ТС]**

Tessen. Можно подробнее про валидацию? Встречал валидацию только при вводе данных в форме, но не такую как вы описываете.

Сообщение от Tessen

не все ли равно получил он их тыкнув на кнопку или подменив Id на форме?

Клиенту не разрешено редактировать поле PersonID. На то он и был скрытый.

@Tessen · 03.04.2014, 14:55

я опишу два случая т.к. не понял про какой из них вы говорите:
1) есть таблица, пользователь берет из нее элемент на редактирование. в элементе содержится какое-то поле которое пользователь не должен редактировать
решение: в контроллере получаем результат редактирования, получаем сущность из базы, копируем в сущность только те поля которые пользователю редактировать можно
итог: что бы он ни вбил в недоступное поле изменения не пройдут

2) Id используется для идентификации сущности в базе (PK), пользователь берет из базы сущность на редактирование, когда он отдает ее обратно мы по Id ищем отданную сущность и изменяем ее поля на отредактированные
очевидно, что если пользователю доступны для редактирования _ВСЕ_ записи таблицы проблемы нет, мы просто получим другую сущность и отредактируем ее. пользователь мог сделать это ничего не подменяя - просто выбрав для редактирования другую сущность

если же пользователю доступны для редактирования _НЕ ВСЕ_ записи таблицы, то нам нужно защититься от ушлого человека, который изменит Id в поле и попытается отправить запрос обратно, чтобы контроллер отредактировал в базе неправильную сущность
решение: внутри контроллера получив запрос перед тем как доставать из базы сущность для редактирования проверяем доступна ли пользователю сущность. Если доступна - см. предыдущий абзац, проблемы нет. Если недоступна - плюнуть в морду сообщением об ошибке.

@Tessen 713 / 680 / 126 Регистрация: 30.03.2012 Сообщений: 1,124
	03.04.2014, 00:54	2
	Не по теме: что знают двое знает и свинья, в вашем случае двое - клиент и сервер вам нужна валидация полученного Id на стороне сервера. если у человека есть права редактирования персоны с этим Id - не все ли равно получил он их тыкнув на кнопку или подменив Id на форме? если прав нет - сервер отправит человека гулять 0

@Setsuna 9 / 9 / 0 Регистрация: 15.06.2010 Сообщений: 126
	03.04.2014, 07:31 [ТС]	3
	Tessen. Можно подробнее про валидацию? Встречал валидацию только при вводе данных в форме, но не такую как вы описываете. Сообщение от Tessen не все ли равно получил он их тыкнув на кнопку или подменив Id на форме? Клиенту не разрешено редактировать поле PersonID. На то он и был скрытый. 0

@Tessen 713 / 680 / 126 Регистрация: 30.03.2012 Сообщений: 1,124
	03.04.2014, 14:55	4
	я опишу два случая т.к. не понял про какой из них вы говорите: 1) есть таблица, пользователь берет из нее элемент на редактирование. в элементе содержится какое-то поле которое пользователь не должен редактировать решение: в контроллере получаем результат редактирования, получаем сущность из базы, копируем в сущность только те поля которые пользователю редактировать можно итог: что бы он ни вбил в недоступное поле изменения не пройдут 2) Id используется для идентификации сущности в базе (PK), пользователь берет из базы сущность на редактирование, когда он отдает ее обратно мы по Id ищем отданную сущность и изменяем ее поля на отредактированные очевидно, что если пользователю доступны для редактирования _ВСЕ_ записи таблицы проблемы нет, мы просто получим другую сущность и отредактируем ее. пользователь мог сделать это ничего не подменяя - просто выбрав для редактирования другую сущность если же пользователю доступны для редактирования _НЕ ВСЕ_ записи таблицы, то нам нужно защититься от ушлого человека, который изменит Id в поле и попытается отправить запрос обратно, чтобы контроллер отредактировал в базе неправильную сущность решение: внутри контроллера получив запрос перед тем как доставать из базы сущность для редактирования проверяем доступна ли пользователю сущность. Если доступна - см. предыдущий абзац, проблемы нет. Если недоступна - плюнуть в морду сообщением об ошибке. 0

Опции темы