Hocam, id si 18 i değiştirmeye yetkisi olanın 20 yi değiştirme yetkisi de olur. Yani adam o sayfaya girmişse zaten orada yetkisi var demektir.

Bakın önemli bir nokta; hiçbir zaman client karar verici olamaz!! Yani siz istediğiniz kadar client ta js ile yada html ile önlem alın, işe yaramaz.

Eğer bir kullanıcı 1 den 100 e kadar id li veritabanı sonuçlarını görebiliyorsa ve siz bu kullanıcının 20 yi değiştirebilmesine rağmen 18 i değiştirmesini istemiyorsanız bu önlem clientta alınmaz. Sizin veritabanınızda bu kullanıcının 18 i değiştirmeye yetkisini kısıtlamanız lazım. Kullanıcı bunu butondan göndermez postmandan gönderir, curl ile gönderir, ajax ile gönderir. Bir şekilde gönderir. Siz server tarafında bu post geldikten sonra önleminizi almalısınız. Post un gönderilmesini engelleyemezsiniz.

Dolayısıyla sizin yapabileceğiniz en doğru şey client a iş bırakmamaktır. En ufak bir karar bile almamalıdır client. Üstüne basa basa söylüyorum. Client karar alamaz.

Bol şans.