【WEBプログラム設計】データの削除等について

この質問を記事投稿後　やっぱり消したいと思って、消すとします。

この時、サーバーに　「◯◯のアカウントで投稿された◯◯番の記事を削除する」　
というリクエストを送っているのであれば
ログインIDはセッション等から読み込むことで書き換えれないでしょうけど
記事番号は POST値やGET値をツール等で書き換えてしまったら
本来消すことのできない記事も消えてしまわないのでしょうか。

つまり　SQLにして

UPDATE
　質問テーブル
SET
　表示 = 0
WHERE
　アカウントID = 私のID
AND
　記事ID = この記事のID←この値を改ざん！
　
のようなことがおこらないように一般的にどうやって防いでいるのでしょうか？

No.1 ベストアンサー 回答者： yambejp 回答日時： 2014/03/26 17:03

普通考えれば、記事IDには所有者がいて所有者IDでひもづいており

所有者もしくは管理者以外が特定の記事を編集することはできないですよね

＞「◯◯のアカウントで投稿された◯◯番の記事を削除する」
というロジックはないです
条件を二重定義しなくても記事番号だけ指定すれば済みます

「○○番の記事を削除する」だけ指定して
WHERE 記事ID = 消したい記事ID AND 所有者ID = 私のID

となるなので、該当するレコードの記事IDと所有者IDが合致しなければ
ヒットしないでしょう

この回答へのお礼

回答有難うございます。

お礼日時：2014/03/27 04:44