Подумайте об этом: есть ли способ, которым пользователь может вызвать одну из ваших функций так, как вы этого не делаете?(Примерами могут быть посещение определенной ссылки, нажатие кнопки или другой пользовательский интерфейс.)
Как вы сказали, PHP интерпретируется на сервере.Пользователь не может вызывать / трогать ваш исходный код, пока вы не сделаете это возможным.
Важно: Даже если пользователи не видят пользовательский интерфейс, это не значит, что он безопасен.
Если посещение определенной ссылки или отправка определенной формы выполнит определенную функцию, скрытие ссылки или формы не решит вашу проблему .Пользователь все еще может ввести ссылку в своем браузере или создать запрос POST, который выполняет действие.
Эту проблему можно решить, проверив, имеет ли текущий пользователь привилегии для выполнения определенногодействие во время выполнения.
Примеры:
if (isUserLoggedIn()) {
doSomething();
}
if ($user->isAdmin()) {
doSomething();
}
if ($_SESSION['user']['role'] == 'admin') {
doSomething();
}