- $caseId = CRM_Utils_Type::escape($_POST['caseID'], 'Integer');
- $contactId = CRM_Utils_Type::escape($_POST['contactID'], 'Integer');
+ $caseId = CRM_Utils_Type::escape($_POST['caseID'], 'Positive');
+ $contactId = CRM_Utils_Type::escape($_POST['contactID'], 'Positive');
+
+ if (!$contactId || !CRM_Case_BAO_Case::accessCase($caseId)) {
+ CRM_Utils_System::permissionDenied();
+ }