Блок Direct URL действия, который вставляет в БД

Question

У меня есть действие в файле viewreport речь идет о билете:

if(isset($_GET['closeticket']) == 'true') 

{ 

$db->query("update tickets set status='Closed' where id='$id'"); 

header("Location: viewreport?id=".$id.""); 

Но даже пользователь может закрыть билет, который не принадлежит к нему через URL. Так что я хочу заблокировать прямое действие url.

Здесь действие

a href "viewreport?closeticket=true&id= <?php echo $id;?>" class="btn btn-danger" id="">Close</a> 

Answer 1

Вы должны проверить, если эта операция относится к пользователю через сессии или печенье.

это должно быть что-то вроде этого

if($_SESSION["group"] == "Admin"){ 
// update operation. 
} 

Я надеюсь, что это будет полезно для вас.

Answer 2

Вы должны проверить, разрешено ли пользователю закрывать этот отчет перед выполнением.

Так что-то вроде:

if(isset($_GET['closeticket'])) 
{ 
    $userIsAllowed = true; // your magic here 
    if ($userIsAllowed) { 
     $db->query("update tickets set status='Closed' where id=" . $db->quote($id)); 
     header("Location: viewreport?id=".$id.""); 
    } else { 
     echo "You're not allowed closing this ticket"; 
    } 
} 

Убедитесь, что правильно избежать ваши запросы, как указано в комментариях (по chelmertz)