ich eine Funktion erstellt, die Benutzer sein Profil bearbeiten können wie folgt:Prevent Benutzer andere Benutzer-Profil bearbeiten
@count.route('/employees/edit/<int:id>', methods=['GET', 'POST'])
@login_required
def edit_employee(id):
"""
Edit a employee
"""
add_employee = False
employee = Employee.query.get_or_404(id)
form = EmployeeForm(obj=employee)
if form.validate_on_submit():
employee.name = form.name.data
employee.description = form.description.data
return render_template('admin/employees/employee.html',
add_employee=add_employee, form=form, title="Edit Employee")
Aber das Problem ist, dass, wenn der Benutzer ändert die ID in der URL bloßen Zufalls es die hat Möglichkeit, das Profil eines anderen Benutzers zu ändern. Ich suche nach einer Lösung, um das Token zu verwenden, aber es ist mir nicht gelungen.
Erstellen Sie eine andere Route wirthout' ', erhalten Sie ID aus der Sitzung oder verschlüsselten Cookie, abhängig davon, wo Sie derzeit geloggten Benutzerdaten speichern. Beschränken Sie Ihre aktuelle Route auf Administratoren. –