Hỏi về việc request giá trị của input hidden

Khi em sửa giá trị của nó trong dev tool của trình duyệt và request thì nó sẽ gửi giá trị mới đi

Nếu đã biết dùng vụ dev tool này thì mình e là người dùng có thể xem và sửa được Id, vấn đề là bạn phải có cách nào đó để authorized xem người dùng đó có thể dùng link để request, nhưng có được quyền để gọi đến action đó ko.
Ví dụ đơn giản khi bạn điền User name và Pass rồi ấn nút đăng nhập vào Facebook, dùng dev tool thậm chí bạn cũng biết được pass điền vào là gì, người ta phải dùng thêm 1 vài tham số khác để xác minh và bảo mật cho người dùng, tránh bị kẻ gian lợi dụng mà request vào lấy thông tin.

Em đã authorized rồi ạ. Và account đó có thể sửa thông tin các học sinh. Em thắc mắc ở chổ là người dùng vào trang sửa của học sinh A. sau đó sửa thông tin và vào dev tool sửa ID trong input hidden của học sinh A thành ID học sinh B. Và khi em submit lên em sẽ nhận được ID của hs B. mà trong code em dùng ID để lấy học sinh và sửa nó. Nhưng ở đây, account này có quyền sửa thông tin tất cả học sinh. Như thế thì có bị xem là lỗi không ạ ?

Account đó có quyền sửa thông tin tất cả học sinh, thì cách vào dev tool để sửa chỉ là 1 cách thay cho cách thông thường là làm trên giao diện thôi mà .
Vậy để tăng thêm độ bảo mật bạn thêm trường LastEditUser vào và cập nhật vào đó người nào sửa cuối cùng để biết. Ý kiến cá nhân của mình là vậy.

vâng em cám ơn …