tecnica per modifica dati

[verardoelvis]

ciao, ho una tabella nella quale visualizzo tutti gli utenti registrati. avevo pensato di mettere in fondo due classici link per la modifica e la cancellazione del record che chiamassero la pagina corretta passando l'id in questo modo:

cancella_utente.php?id=12, ecc, ecc, ecc

questo comporta che se uno vede l'url e scrive 13 mi cancella un'altro utente e non esiste la sicurezza.

come potrei fare per risolvere il problema?

dovrei inseire una form per la modifica e una per la cancellazione con dei radio button?


fatemi sapere cia grazie

[cremby]

salvare tra le variabili di sessione ($_SESSION) al momento del login l'id dell'utente che si connette, e riutilizzare quel valore richiamando la variabile $_SESSION['id'] nel link per la cancellazione ad esempio...poi, nella pagina per la cancellazione fai un controllo tra l'id utente che si cerca di cancellare e quello della sessione!!!

[verardoelvis]

ok, grazie ma questo per gli utenti.
generalizzando....perr i prodotti, per le categorie, o per altre entità?

come posso fare?

[cremby]

puoi specificare meglio cosa devi fare??? non ho capito...

[verardoelvis]

ciao, ho dei prodotti che devo modificare, cancellare, ecc. nell'area riservata.

quando visualizzo tutti i prodotti, nella parte più a dx della riga inserisco due link, uno per la modifica e uno per la cancellazione del record. es: come fa phpmyadmin.

il problema è che questi link passano i parametri in url, cioè /modifica:_prodotto.php?id=6, oppure /elimina_prodotto.php?id=6, ecc.

se però, qualcuno cambia nell'url il valore id, mi cancella record senza averli visti.

cosa succederebbe se uno scrivesse /elimina_prodotto.php?id=12 senza vederli ma solo cambiando l'indirizzo url? cancellerebbe un record. QUESTO NON è SICURO.

devo fare in modo che l'utente sia sempre costretto a cliccare su l record e poi eventuaqlmente cancellarlo e perciò devo usare una form.

posso fare in due modi, pernso: o creo una form per modificare e una per cancellare in due pagine diverse le cui action sono rispettivamente /modifica_prodotto.php e /elimina_prodotto.php

oppure propongop di visualizzare tutti i record per essere cancellati con checkbox e se ci cliccano sopra aprono la form per modificarli.


cosa ne pensate?
grazie ciao

[verardoelvis]

ciao, penso che sia troppo oneroso fare in modo che tutta la gestione del'area riservata sia senza get/url.

perciò penso che sia una soluzione pià comoda fare in modo che ogni pagina dell'area riservata verifichi che l'utente è l'amministratore in modo da utilizzare tranquillamente le variabili inget tipo cancella.php?utente=45

cosa pensate?