Dubbio sicurezza db

[reo]

Ciao a tutti,
sembrerà banale il mio problema ma mi servirebbe una conferma...

Sto creando un sito nella quale vi é un normale gestione utenti con db mySQL. Questo perché mi serve creare delle sessioni per poi poter accedere ad aree private.

Adesso vorrei aggiunge un area di amministrazione aggiungendo alla tabella con i dati dell'utante il campo "admin" che pou assumere il valore 1 o 0.
La tabella avrà una struttura di questo genere:

|usern|passw|nome|cognome|indirizz|ecc...|admin|

Ovviamente quando avviene la registrazione tramite form il campo admin é settato automaticamente a 0 (=utente normale).

È possibile che un utente cambi questo valore tramite query? In fondo ha permessi di insert e update su questa tabella, di conseguenza anche sul campo "admin".
In questo modo é possibile che qc modifichi questo valore giusto?
Spero di essere stato abbastanza chiaro con la spiegazione...

Grazie per l'aiuto

[stefano3804]

MI SEMBRA SIA IL PROBLEMA DEL SQL_INJECTION

NON PENSO CHE LO POSSA FARE ANCHE PERCHE NELLA PAGINA DOVE TU
passi i dati dal form userai il post e poi per la variabile avrai sempre un $_POST[variabile]

Per cui secondo me dovresti essere tranquillo

[davidino80]

basta che fai un controllo di sessione se l'utente è già loggato o meno.

mi spiego, se l'utente è in fase di registrazione non è loggato, quindi potresti fare la query solo se $_SESSION['logged'] è a 1 (=loggato) o se $_SESSION['user']<>0

[reo]

Spero veramente di poter essere tranquillo altrimenti sono disastri...
thx

(x davidino80)
Sono d'accordo, xò anche un utente loggato non deve essere in grado di modificare questo valore...

[davidino80]

[supersaibal]Originariamente inviato da davidino80
basta che fai un controllo di sessione se l'utente è già loggato o meno.

mi spiego, se l'utente è in fase di registrazione non è loggato, quindi potresti fare la query solo se $_SESSION['logged'] è a 1 (=loggato) o se $_SESSION['user']<>0

[/supersaibal]

altra strada:
fai la INSERT INTO escludendo la colonna "ADMIN".

[davidino80]

[supersaibal]Originariamente inviato da reo
Sono d'accordo, xò anche un utente loggato non deve essere in grado di modificare questo valore... [/supersaibal]

la seconda soluzione che ti ho dato è perfetta allora

INSERT INTO tabella (utente, data) VALUES ('nome','data')

(non specifichi in pratica la colonna ADMIN)

[reo]

si si, l'ho fatto così, forse mi son spiegato male

Sperò appunto che che nn sia possibile modificare in qualche modo (da me sconosciuto :master: ) questo valore...

[davidino80]

[supersaibal]Originariamente inviato da reo
si si, l'ho fatto così, forse mi son spiegato male

Sperò appunto che che nn sia possibile modificare in qualche modo (da me sconosciuto :master: ) questo valore... [/supersaibal]

credo proprio di no perchè:

- nel form non passi nessun valore (a meno che non ci sia una spunta dove l'utente decide di essere admin )
- non specificando la colonna della tabella non ti poni neanche il problema

ciao

[reo]

Ok, capito, vado tranquillo...
grazie tante