查看订单详情至少需要两个参数，订单id及当前用户id。后端首先应该先判断是否正确接收到这两个参数，然后根据订单id查找到相应的订单信息，再将当前用户id与订单信息中的下单用户id匹配，不一致则提示无权访问。

1.不能同id作为订单查询的依据，比如用uuid
2.订单的表的里面有当前订单数据哪个客户的字段,查询的时候带上这个条件

查询订单的时候应该是：

select * from 订单表 where id="id" and uid="uid"; 

用户UID与订单ID 为 && 关系。

真实的订单是有混淆性的，请求时并不是真的就是数据表的主键字段，所以你这个要自己改改

1.首先判断该用户是否处于登录状态，获取session来判断；
2.根据用户id来判断是否有权限访问该订单详情。

当有个id被传到后台后 数据库查询的时候并不是只查询id=id这一个条件
会带上很多条件的，比如用户登录的uid ， 或者session中存的用户账号什么的

当然你最好做一些sql防注入的东西，人家如果用id=1";这样的形式访问，你的sql就很危险。

权限的问题应该是后端判断吧，按照道理应该是前端传给服务器一个订单id（你这里是url传参），然后后端会去查表，然后返回数据给前端。对于权限这个问题，后端可以在收到前端的接口调用信息之后，先判断用户是否有调用这个接口的权限，如果有（且逻辑数据合理等），返回数据，如果没有，就直接返回没有权限访问，这样去控制。