Protezione dati con PHP

[pamy78]

Ho fatto un sito in PHP per la gestione di un database...
per visualizzare i dati di una tabella (ad esempio i dati anagrafici di un gruppo di persone)
visualizzo tutti i nomi e cognomi e cliccandoci sopra visualizzo i dettagli.
Per farlo apro un file PHP indicando l'ID del recordo con un $_GET.

Il problema è che chiuque potrebbe vedere record che non gli competono o fare pasticci aprendo le varie pagine PHP e modificando le variabili GET...
c'è un modo diverso per passare a una pagina PHP l'id del record che voglio gestire?

Grazie
... sono stata chiara?.. boh.. speriamo

[Sbarboff2005]

Puoi proteggere le pagine con un login se fa al tuo caso!!

[pamy78]

si cmq vorrei che chi accede al sito con una sua login veda solo i record a lui relativi, non tutti i record... se uno prende il file php e cambia a caso l'id nel get li vede tutti

[touchweb]

ciao,
il metodo più semplice che utilizzo di solito è questo:

1)Al momento del login utente setto una sessione con all'interno ad esempio l'username dell'utente $_SESSION['username'] = "valore_passato nel login";

2) su ogni pagina attivo le sessioni

3) quando un utente richiede dei dati tramite GET la pagina passa l'id che dici tu + la sessione che contiene l'username

4) la query non sarà più solo "where id='user_id" ma "where id='user_id' and username='valore della sessione'"

questa combinazione di dati non permette all'utente di ricevere i dati non suoi tramite get perchè non ci sarà nessuna corrispondenza dell'username

ciao

[pamy78]

wow
grazie per la dritta
ti devo un caffè