[Ramundo]

Так вот, допустим, у меня есть серверный скрипт с SQL-запросом на получение фотографий пользователей. Он принимает в качестве post-данных id пользователя и выдает массив ссылок на фотографии.

Есть также JS скрипт, который отправляет AJAX-запросом этот самый ID.

Вопрос такой - может ли пользователь как-то подделать ID, чтобы получить чужие фотки?