У меня есть действие в файле viewreport речь идет о билете:Блок Direct URL действия, который вставляет в БД
if(isset($_GET['closeticket']) == 'true')
{
$db->query("update tickets set status='Closed' where id='$id'");
header("Location: viewreport?id=".$id."");
Но даже пользователь может закрыть билет, который не принадлежит к нему через URL. Так что я хочу заблокировать прямое действие url.
Здесь действие
a href "viewreport?closeticket=true&id= <?php echo $id;?>" class="btn btn-danger" id="">Close</a>
Вы можете прочитать о инъекции SQL, вот родственный SO вопрос: https: //stackoverflow.com/questions/60174/how-can-i-prevent-sql-injection-in-php – chelmertz
'if (isset ($ _ GET ['closeticket']) == 'true')' должно быть 'if (Исеть ($ _ GET [ 'closeticket'])) '. – v7d8dpo4
1. Запретить SQL-инъекцию. 2. Используйте POST вместо этого. 3. Зависит от маркера AUTH или проверки на стороне сервера (возможно, с использованием '' _SESSION 'php'). – hjpotter92