W dniu 2013-10-29 13:26, Neevor@W pisze:

>
> Generalnie na końcu obsługi zdarzenia uruchamiasz jakiegoś POSTa.
> Ten POST idzie na konkretny URL.
> Po stronie serwera sprawdzasz, czy aktualny użytkownik ma prawo wywołać
> tego URLa. Jeśli może, kontynuujesz... Jeśli nie, 404, 401, 503 czy co
> ci tam do głowy przyjdzie.

Ok, to łapię. Jednakże może się zdarzyć, że użytkownik ma prawo do URL'a
wysłanego z Ajaxa ale przebywa na URLu, spod którego wspomniane
wywołanie Ajaxowe nie ma sensu. Przykładowo jesteśmy w edytorze listy
klientów gdzie możemy wykasować któregoś z nich. Klikamy "kasuj" obok
nazwiska, wołamy skasuj(ID_klienta), Ajax wykonuje akcję, użytkownik znika.

Teraz sytuacja "patologiczna", przed którą chciałbym się uchronić.
Użytkownik jest zalogowany, ma prawo do kasowania klientów i nie jest w
edytorze użytkowników lecz np. na stronie głównej serwisu. W jakiś
sposób wywołuje z konsoli skasuj(234). Co z tym zrobić? Pozwolić na
skasowanie klienta 234? Niby wolno to zrobić ale nie z tego miejsca.
Funkcja skasuj() nie wie skąd może być wywoływana więc sama siebie nie
może zweryfikować. Z kolei po stronie PHP też nie mam jak tego sprawdzić
(chyba) z uwagi na to, że wywołania Ajax'a nie są związane z żadnym
URLem. A może nie przejmować się tym wcale i pozwalać na takie operacje?

--
Pozdrawiam
Marek