Hola a todos,
Tengo el siguiente problema: Dibujo en una tabla html el contenido de una consulta, cada fila es un registro, al principio de cada fila pongo un checkbox, el usuario puede seleccionar varios registros (mediante el checkbox) y luego puede borrarlos si lo desea.
Uso AJAX para hacer esto, oculto los <tr> mediante javascript y en segundo plano borro los registro medainte un script PHP
Código AJAX
Código PHP:
function BorraFicha(fichas)
{
var cadena = fichas.substr(0, fichas.length - 1);
my_r = parseInt(Math.random()*999999999999999);
ajax = getAjax();
ajax.open("GET", 'borra_ficha.action.php?fichas=' + cadena + '&my_r=' + my_r, true);
ajax.send(null);
}
script PHP
Código PHP:
if ($_GET)
{
if (isset($_GET['fichas']))
$fichas = $_GET['fichas'];
$result = tep_db_query("DELETE FROM dptdetdpopor01 WHERE ddpnumdpo IN(" . $fichas . ");");
if (! $result)
echo "Ocurrio un error mientras se borraban las fichas seleccionadas, intentar nuevamente.";
$result->close;
}
Todo funciona de maravilla
Pero si en el url hago referencia directamente al scritp que borra los registros y paso los parametros directamente eg '...borra_ficha.action.php?fichas=1,2,3,4,5...1000 0' el usuario podría borrar todos los registros de la tabla.
Esto no debe permitirse pues sólo el usuario que ha iniciado sesión puede borrar los registros que le pertenecen y no de otros usuarios.
Cómo pues, forzar que el borrado de registros se haga necesariamente mediante AJAX??.
Saludos