Yanlış şeye odaklanıyorsun. Kullanıcının değiştirememesine değilde, kullanıcı değiştirse bile bu verinin üstünde back-end'de kontrol sağlayıp eğer kullanıcı o öğe üstünde yetkili değilse o öğeyi değiştirmesini engellemelisin.