Tach!

Da ich Felder im Formular abhängig von der Berechtigung editierbar mache, aber das Speichern im Backend nicht für jede Berechtigungsstufe individuell speichern möchte, meine Frage:

Alles, was der Browser senden kann, kann manipuliert werden. Eine Prüfung auf Serverseite einzusparen ist fahrlässig.

@Klaus1:

••• soll heißen, das ein readonly im Client eine Entfernung des Elementes aus dem Updatestatement zur Folge haben muss, wenn Du z. B. SQL benutzt.

Eher soll es heißen, dass die Eingaben für diejenigen Elemente gar nicht beachtet werden, die aufgrund der Berechtigungslage nicht geändert werden dürfen. Dein Satz klingt mir so, als die Steuerung anhand der Client-Daten erfolgt. Das darf sie bei Berechtigungsfragen nicht.

Nicht immer kann/will man das Update-Statement direkt manipulieren (bei ORMs beispielsweise). Da ist die Vorgehensweise meist Lesen des Objekts aus dem DBMS, setzen der neuen Eigenschaften (in dem Fall lässt man die aus, die nicht geändert werden dürfen) und zurückgeben an das ORM zwecks Update-Speicherung.

dedlfix.