Здравствуйте, Аноним, Вы писали:

MSO>>Это заведомо неверно: архитектура веб-приложения должна позволять любому юзеру смотреть общие (то бишь PUBLIC/COMMON) поля других уч. записей.

А>говоря проще, конечный результат который я хочу получить —
А>если я скопирую ссылку из одноклассников, и передам эту ссылку другому юзеру, то он её открыть ведь не сможет, так ?
А>его просто выбросит на его же главную страницу. вот как добиться аналогичного поведения в моём веб-приложении ?

Зависит от ссылки, в одноклассниках в некоторых урлах зашита сессия пользователя, в некоторых нет.

Ты не туда копаешь, простых (якобы) средств будет недостаточно. Любая модификация урла будет защитой на основе незнания алгоритма, первый злоумышленник который догадается о нем — вытащит данные.

Нужно везде проверять может ли пользователь иметь доступ к конкретным данным. Если может — показываем, если нет — нет. Например, если тебе нужно сделать какие-то приватные строки в таблице, сделай там поле OwnerID и ко всем запросам добавляй and (OwnerID = @CurrentUserId).