Hej alla glada utvecklare,

Jag sitter och funderar på om det är nödvändigt att - som jag gör - dubbelkolla alla rättigheter vid OnClick-eventet på en knapp när en kontroll redan gjorts i Page_Load-eventet? Alltså: om Page_Load ser att användaren inte har rättighet att klicka på en knapp och disablar den, behöver jag då kontrollera att användaren inte klickade där ändå? I nuläget gör jag detta eftersom jag tänker mig en fulehackswebbläsare som inte lyssnar på disabled-attributet i HTML och därmed låter användaren klicka på knappen ändå.

Gör jag rätt, eller belastar jag bara mina stackars databas- och webbservrar med anrop i onödan? Kanske hanteras detta redan någonstans i sidcykeln?

Tack för eventuella svar på förhand!

Du gör rätt. Det är mycket lätt att komma förbi det om man verkligen vill.
Bra metod är väl:
1. Rent "fysisk" disable:ing.
2. Javascript-kontroll. Om det finns webbläsare som av någon anledning inte bryr sig om det du vill.
3. Server-side-kontroll. Om det finns webbläsare som vidare skiter i ditt javascript, eller användare som har intresse att göra det.

Tack för svaret, då kör jag vidare som jag brukar =)

Jag förutsätter att ASP.NET har kontroller för detta inbyggt, så för att kunna manipulera detta behöver man nog manipulera ViewState (och sätta kontrollen enabled). Hur ViewState hanterar säkerhet och skydd mot manipulation har jag tyvärr inte riktigt koll på, förhoppningsvis är det inte helt enkelt. Men eftersom informationen kommer från klienten finns det alltid en teoretisk möjlighet att det går att manipulera.

/Johan

Hmm, så då kanske jag gör onödiga anrop iallafall? Någon annan som kan bringa mer klarhet i detta (nu har vi två som säger nästan olika saker här...)?