есть такой код:
document.getElementById('delete').onclick = function() {
var xhr = new XMLHttpRequest();
var id = this.parentElement.parentElement.id;
xhr.open("POST", '/work/delete.php', false);
xhr.setRequestHeader('Content-Type', 'application/x-www-form-urlencoded');
xhr.onreadystatechange = function() {
if (xmlhttp.readyState == 4) {
if (xmlhttp.status == 200) {
alert(xmlhttp.responseText);
}
}
};
xhr.send("id="+encodeURIComponent(id));
}
и php:
<?php
$data = $_POST;
require "config/db.php";
$user = R::findOne('users', 'id = ?', array($data['id']));
if($user->login!='admin'){
R::trash($user);
}
как защититься от того, что любой человек может взять и удалить пользователя или сделать что-то другое с бд?
