İsteğin kimden geldiğini engelle.php sayfasında kontrol etmezsen 10 yaşındaki çocuk bile curl isteği atarak tüm kullanıcılarını banlayabilir.
Önerilerim get yerine post kullan, düz id yerine uuid kullan, yapılan isteğin site içinden geldiğini kontrol et, yapılan isteğin admin tarafından yapıldığını kontrol et.
Engelle.php sayfasına yönlendirildiğinde oturum açık mi diye kontrol ediliyor açıksa engelleyen oturum sahibi engellenen get ile gelen id oluyor. Buna ek olarak get ile token göndersem yine güvenlik açığı olur mu?