Hola amigos, tengo creado un foro en el que está la opción de borrar los mensajes publicados, es decir, que si el autor está logueado puede visualizar en su post un enlace para que lo elimine. El enlace lo creé de esta manera:
Código PHP:
<a class="vinculo" href="droptema.php?c=<?=$c?>&id_foro=<?=$id_foro?>&idautor=<?=$idautor?>" onclick="if(!confirm('Estás apunto de eliminar este post. Estás seguro de realizar esta operación?')) return false;" title="Eliminar post">
<img src="images/drop.png" alt="Eliminar post" />
</a>
Donde:
$c = categoría del foro
$id_foro = la id del post
$idautor = id del autor del post
Este es el archivo droptema.php
Código PHP:
<?php
session_start();
include('config.php');
if (!empty($_SESSION['usuario'])) {
mysql_query("DELETE FROM foros WHERE id_foro='".$_GET[id_foro]."'");
$resp2 = mysql_query("SELECT * FROM foroscat WHERE id_cat='$c'");
$datos2 = mysql_fetch_array($resp2);
$resta = $datos2['numpost']-1;
mysql_query("UPDATE foroscat SET numpost='$resta' WHERE id_cat='$c'");
$resp3 = mysql_query("SELECT * FROM users WHERE id='$idautor'");
$datos3 = mysql_fetch_array($resp3);
$resta3 = $datos3['posts']-1;
mysql_query("UPDATE users SET posts='$resta3' WHERE id='$idautor'");
echo 'Registro Eliminado satisfactoriamente <a class="vinculo" href="foros/">Regresar a los foros</a>';
}else {
echo "<strong>Acceso denegado.</strong>";
}
?>
El problema que tengo con dicho script, es que fácilmente cualquier persona puede poner en la URL la dirección hacia cualquier post con cualquier id de usuario y se va a borrar y eso es lo que quiero evitar, no sé si me dejo entender. Espero que me puedan ayudar con eso, gracias de antemano.
Saludos.
