Ciao a tutti..

Io ho un sito dove c'è un elenco di notizie..Ho tre livelli di utenti: utenti comuni che possono solo leggere(0), untenit medi che possono modificare e basta(1), e superutenti che possono aggiungere modificare e cancellare(2).Volevo fare in modo che a seconda dell'utente che si logga appaiano i relativi bottoni di amministrazione sotto ogni news..
Secondo voi è sicuro fare così:

Se un utente si logga, setto una variabile di sessione contenente il suo id, ip e livello.
A questo punto ad ogni pagina controllo le variabili di sessione e mi comporto di conseguenza..

E' possibile che uno possa loggarsi come utente normale e poi in qualche modo modificare le variabili di sessione madari passando da livello 0 a livello 2?
E se si come posso prevenire questa cosa? Forse sono meglio le sessioni su database??

Grazie mille dell'aiuto.. ciao ciao