Marek wrote:

> Funkcja update zawiera kod Ajax'a i wykonuje asynchroniczną komunikację
> z serwerem. Wszystko fajnie, ale teraz wyobraźmy sobie sytuację, w
> której ktoś ma przeglądarkę z obsługą JS w trybie konsoli i może tam
> wszystko z palca wpisać. Nie ma ta osoba dostępu do podstrony WWW (bo
> np. wymagane są do tego jakieś uprawnienia). No i wpisuje sobie
> update(100,5) i aktualizuje się setny użytkownik...
>
Umieścić skrypt wyłącznie na tej jednej podstronie ;)

Generalnie na końcu obsługi zdarzenia uruchamiasz jakiegoś POSTa.
Ten POST idzie na konkretny URL.
Po stronie serwera sprawdzasz, czy aktualny użytkownik ma prawo wywołać
tego URLa. Jeśli może, kontynuujesz... Jeśli nie, 404, 401, 503 czy co
ci tam do głowy przyjdzie.
--
GCA/ED d s+:++ a C++ ULA P+++ L+ E--- W+++ N+++ o+ K- w+++ O+ M+ V-
PS PE++ Y-- PGP- t-- 5-- X+ !tv R b+ DI-- D+ G e++ h--- r+++ z+++*