У меня есть объект с именем Visit со следующими свойствами:
Примечание DoctorID VisitTypeID CreatedBy Date VisitID PatientID StatusID Timestamp
В представлении «Редактировать» пользователь может редактировать только следующие два свойства: — Примечание DoctorID. Поэтому я добавил другие свойства в виде скрытого поля в моем представлении редактирования следующим образом: —
@using (Html.BeginForm()) {
@Html.ValidationSummary(true)
<fieldset>
<legend>Visit</legend>
<div class="editor-label">
@Html.LabelFor(model => model.Note)
</div>
<div class="editor-field">
@Html.EditorFor(model => model.Note)
@Html.ValidationMessageFor(model => model.Note)
</div>
<div class="editor-label">
@Html.LabelFor(model => model.DoctorID)
</div>
<div class="editor-field">
@Html.DropDownList("DoctorID", String.Empty)
@Html.ValidationMessageFor(model => model.DoctorID)
</div>
<p>
@Html.HiddenFor(model => model.VisitTypeID)
@Html.HiddenFor(model => model.CreatedBy)
@Html.HiddenFor(model => model.Date)
@Html.HiddenFor(model => model.VisitID)
@Html.HiddenFor(model => model.PatientID)
@Html.HiddenFor(model => model.StatusID)
@Html.HiddenFor(model => model.timestamp)
<input type="submit" value="Create" />
Я должен включить все свойства в свое представление редактирования, так как я передаю объект «Посещение» моему методу действия редактирования публикации, который выглядит следующим образом:
[HttpPost]
public ActionResult Edit(Visit visit)
{
if (!(visit.Editable(User.Identity.Name)))
{
return View("NotFound");
}
try
{
if (ModelState.IsValid)
{
repository.UpdateVisit(visit);
repository.Save();
return RedirectToAction("Index");
}
}
catch (DbUpdateConcurrencyException ex)
{
var entry = ex.Entries.Single();
var clientValues = (Visit)entry.Entity;
ModelState.AddModelError(string.Empty, "The record you attempted to edit "
+ "was modified by another user after you got the original value. The "
//code goes here
Поэтому я обеспокоен вышеуказанным подходом по следующим причинам: 1. Злоумышленник может изменить значения скрытых полей. 2. я не могу определить [Bind(Include = "....")] в моем классе модели Visit.
Поэтому я не могу решить, следует ли мне продолжать использовать этот подход ИЛИ есть лучший подход, которому можно следовать