Update: 2026-06-16 02:52:06

2026-06-16 02:52:06 +03:00
parent 2c657fa0b4
commit c0fe990ebe
11 changed files with 162 additions and 324 deletions
--- a/backend/ride/rides/getRideOrderID.php
+++ b/backend/ride/rides/getRideOrderID.php
@@ -16,6 +16,13 @@ try {
 $passengerID = filterRequest("passengerID");
 $rideID      = filterRequest("id"); // إضافة استقبال متغير رقم الرحلة

+// التحقق من أن الراكب يطلب بيانات رحلته هو فقط (حماية IDOR)
+if (!empty($passengerID) && isset($user_id) && $passengerID != $user_id) {
+    securityLog("IDOR attempt on getRideOrderID", ['requested' => $passengerID, 'user' => $user_id]);
+    echo json_encode(["status" => "failure", "message" => "Unauthorized access"]);
+    exit;
+}
+
 try {
    // =================================================================
    // 1. الخطوة الأولى: تحديد استراتيجية البحث (بواسطة رقم الرحلة أو الراكب)