Hola a todos,

tengo una duda en principio simple. Tengo un programa de gestión de una biblioteca muy sencillo. Existen dos roles, el del bibliotecario y el del usuario. Cuando un usuario hace click en el enlace correspondiente le aparecen sus préstamos. En cambio, el bibliotecario tiene acceso a los préstamos de todos los usuarios. Tal y como lo tengo, cuando el bibliotecario desea consultar los préstamos de un usuario, escribe las iniciales del usuario y se carga el panel de préstamos.

El problema reside en que, al realizarse la petición por el método GET, en la url aparece

donde xxx es el identificador del usuario. Así pues, cualquiera que abra el navegador y se pueda imaginar que el campo se llama "usuario", puede escribirlo en la barra de navegación y acceder al panel de otro usuario.

¿Qué me recomendáis hacer? ¿Cambiar de GET a POST? ¿Introducir variables de sesión? ¿Existe algún otro método?

Muchísimas gracias!!