Ich mache eine einfache Website, die Dateien aus einem bestimmten Ordner auflistet. Wenn der Benutzer über Administratorrechte verfügt, kann er Dateien löschen, indem er auf die Schaltfläche "Löschen" klickt.

In meiner ASPX-Datei habe ich den folgenden Code:

<asp:Button runat="server" Text="Delete" OnCommand="FileList_Delete"
            CommandArgument='<%#Eval("FilePath")%>' Visible='<%CurrentUserIsAdmin()%>' />

Der Button wird also nicht gerendert, wennCurrentUserIsAdmin() kehrt zurückfalse.

Die Schaltfläche wird folgendermaßen gerendert:

<input type="submit" name="ctl00$ctl00$MainContent$LocalMainContent$FileList$ctrl0$ctl17" value="Delete" />

Meine Frage lautet: Kann ich sicher sein, dass diese Methode vor einem Angriff mit bekanntem Code sicher ist, wenn der Benutzer die clientseitige Webseite ändert, um auf diese unsichtbare Schaltfläche zu klicken? Oder muss ich im Code-Behind Vorsichtsmaßnahmen treffen und die Benutzerrechte im Ereignis mit gedrückter Maustaste überprüfen?