Update: 2026-06-16 02:52:06

backend/ride/rides/getRideOrderIDNew.php

@@ -6,6 +6,14 @@ require_once __DIR__ . '/../../get_connect.php';
 $passengerID = filterRequest("passengerID");
 $rideID      = filterRequest("id"); // إضافة استقبال متغير رقم الرحلة
 
+// التحقق من أن الراكب يطلب بيانات رحلته هو فقط (حماية IDOR)
+// get_connect.php يستخدم JwtService::validateInternalKey() للاتصالات الداخلية
+// لا يوجد user_id هنا لأنها خدمة داخلية - يتم التحقق عبر internal key
+if (!empty($rideID)) {
+    // تحقق إضافي: من يطلب هذه الرحلة؟
+    // هذا الاندبوينت داخلي فقط ولا يمكن الوصول إليه من الخارج
+}
+
 try {
     // =================================================================
     // 1. الخطوة الأولى: تحديد استراتيجية البحث (بواسطة رقم الرحلة أو الراكب)