Como hacer usuarios con privilegios sin perder seguridad

Hola buenas de nuevo!!

Quisiera saber cual es la mejor manera de hacer lo siguiente...

Imaginemos que tenemos una bbdd con usuarios, estos usuarios puede posterar sus artículos y también los pueden eliminar. Si yo creo un cpanel donde se listan los artículos del usuario logeado con un botón para eliminar cada articulo con el link delete.php?articulo-id=8, cualquier usuario que haga login y pase una id aleatoria se puede cargar el artículo de otro, no?

Debería hacer una consulta a la bbdd para comprobar que la id del artículo corresponde al usuario en cuestión? si es así, como paso la id de usuario? por sesión?

Es seguro esto?

Un saludo y muchas gracias!

La id del usuario del articulo tendrás que sacarla por consulta cuando accedes al archivo delete.php.

Después comparas ese id con el de la sesión y si no es lo mismo mandas un mensaje de error.

y porque cuando se logea directamente miras los articulos que ha escrito el y solo le muestras los suyos?? (para eliminar claro está), no se si me he explicado y sino como dice chenon, o bien pasar por url tb su identificador y comprobar que el articulo es suyo

Si claro que mostraré sólo los suyos, eso da igual, porque el verá en la url una id del artículo a eliminar... y si el se inventa un id podrá cargarse el artículo aunque no sea suyo, no?

Chenon, para hacer la consulta necesito un dato para hacer la comparación, que dato uso? y como lo paso? si lo paso por url estoy en las mismas, uno que sepa un user podrá liarla también..

Muchas gracias por las respuestas!

Lo primero es tener claro que son las variables de sesion, si nada mas loguearse correctamente guardas el ID del usuario en una variable de sesion, luego en TODA tu web usas ese ID para mostrar todo lo que pertenezca a dicho usuario, SIEMPRE en tus sentencias Mysql el ...... WHERE ID=".$_SESSION['IDUSUARIO']

Donde hay que tener más seguridad en estos casos es a la hora de loguearse, evitar las Inyecciones SQL por ejemplo.

Como tienes en la base de datos la tabla de los articulos? Digo yo que hay un campo que se llama idusuario o algo así no?

Sí, por cada articulo habrá la id del user, pero luego con que comparo esa id?

VUN te ha dado la respuesta, si cuando se logea guardas $_SESSION['idusuario']=$idusuario, es decir, en una variable sesion el identificador del usuario nadie podra ponerse en otro usuario que es tu miedo porque al logearse debera saber el password, entonces a la hora de borrar comparas si el iduser de la tabla articulos es el mismo al de la sesion (la que se ha iniciado) entonces si es la misma lo borras y sino pues le sacas un mensaje de error

Holas,

Un poquito para aumentar, y es que siguiendo lo mencionan VUN y adristb, podrias tener en tu base de datos campos como editar, eliminar, buscar, imprimir, adicionar como para que cuando te loguees crees sesiones de esos permisos y asi puedes detallar mas tus permisos.

Saludos
Gildus

Vale pues muchas gracias por vuestra ayuda!!

No tenía claro si mantener el id de usuario en una session era del todo seguro..

Un saludo!

Las variables de sesion son totalmente seguras, cada usuario crea su propio $_SESSION['idusuario'] por asi decirlo, que por cierto se guardan en el servidor y se borran automaticamente en cuanto expira cierto tiempo sin navegar, se cierra el navegador, o se destruye la sesion manualmente.

Te puede ahorrar muchas consultas el guardar ciertas cosas en variables de sesion, por ejemplo el nick del propio usuario, para que se vaya mostrando luego en el tipico recuadro "Estas logueado como Vun" tan solo con la variable de sesion sin estar constantemente mirando la tabla en cada pagina.

De acuerdo,

Cuantas variables de sesión son normalmente utilizadas?

Por ejemplo, una para el nombre de usuario, otra para la id.. alguna más?

Un saludo!

yo en mis aplicaciones suelo guardar esas dos, el identificador y el nombre de usuario, pero puedes guardar las que quieras.

Hola buenas de nuevo,

Muchas gracias por la info, te haré caso

Un saludo!

Al ser seguras, yo meto en las variables de sesión casi cualquier dato importante del usuario.

Por ejemplo, si voy a hacer un formulario de edición de contraseña, meto en una variable de sesión la contraseña encriptada, y así no tengo que sacarla luego por bd. (Me ahorro una consulta)

Pero vamos, el id del usuario es muy importante. Se podría decir que es la que demuestra que está logeado.