Sistema de Login

[Heltinhu]

Olá novamente pessoal bom estou finalizando meu sisteminha de login e senha com nível de permissão e eis que me deparei com um GRANDE problema, não pra vocês que manjam + pra mim ta difícil.

Bom vamos a ele rssss...

É o seguinte aqui no meu sistema de login quando o usuário se loga no meu site é feita uma validação certo pra pegar o nível do usuário haja vista que se o usuário for de nível 1(administrador-EU) será redirecionado para uma determinada página agora se o usuário for de nível 2(membro comum) será redirecionado para a sua página de administração certo até aqui beleza esta FUNFANDO certinho. Porém nesta página de administração do usuário tenho os links para o usuário EDITAR O ANÚNCIO quando ele clica no anúncio ele é levado para a página editar.php que é onde o usuário poderá editar o seu respectivo anúncio a URL da página ficará assim...

www.meusite.com/classificados/editar.php?item=1

E agora o problema é por exemplo quem esta logado no site é o João da Silva ele tem lá os seus respectivos anúncios vamos supor que ele queira editar o item de número 24 ficando na URL assim

www.meusite.com/classificados/editar.php?item=24 certo aqui ele irá editar o seu item de número 24. Porém se algum "DESOCUPADO" rsrsrs - for na URL e digitar 55 ele será levado para editar o item de número 55 só que o item não é dele e sim da Maria de Souza.

Como resolvo isto porque assim meu sistema vai virar bagunça todos acessando anúncios uns dos outros vai virar uma zona rssss

Eu já vi algumas coisinhas como URL's amigáveis porém sem sucesso nem sei se seria somente isso a solução do meu problema, por isso conto com a ajuda de vocês.

Valeu abraços.

[ESerra]

Imagino que você relacione o anúncio com o usuário por um ID, então supondo isto bastaria você salvar este id do usuário em uma sessão no momento do login, ai você usa esta informação adicional na query, assim você evita este problema.

[Heltinhu]

Olá ESerra eu relaciono sim o anuncio do usuário com o ID do usuario e após o login eu salvo os dados na sessão veja com estou fazendo...

Este é o meu aquivo de validacao.php é aqui que é validado o usuario e redirecionado para a sua devida página

// Salva os dados encontrados na sessão
    $_SESSION['UsuarioID'] = $resultado['id'];
    $_SESSION['UsuarioNome'] = $resultado['nome'];
    $_SESSION['UsuarioNivel'] = $resultado['nivel'];
    $_SESSION['UsuarioSenha'] = $resultado['senha'];

Como vê salvo o usuarioID - usuarioNome - usuarioNivel - usuarioSenha Aqui é onde inicio a sessão em cada página só que como uso estas informações para impedir tal feito pelos usuarios?

<?php

// Inicio a sessão
if (!isset($_SESSION)) session_start();

$nivel_necessario = 1;

// Verifica se não há a variável da sessão que identifica o usuário
if (!isset($_SESSION['UsuarioID']) OR ($_SESSION['UsuarioNivel'] < $nivel_necessario)) {
    // Destrói a sessão por segurança
    session_destroy();
    // Redireciona o visitante de volta pro login
    header("Location: index.p"); exit;
}
?>

[ESerra]

Quando você acessa a página:editar.php?item=24

Imagino que você faça uma consulta ao no BD, logo, basta.

SELECT... FROM tabela WHERE id = '24' AND id_usuario = '".$_SESSION['UsuarioID']."'

Ou seja, você usa o id da sessão para verificar na consulta também.

[Heltinhu]

Eita pega caraca ESerra é vivendo e aprendendo mesmo né era tudo uma questão de lógica rssssss agora funcionou perfeitamente perfeito o usuario digita na URL o item tal porém o item não é mostrado como antes rsss.

Heim só mais uma coisinha tem como colocar acho que um if sei lá para que quando o usuário "DESOCUPADO" querer fazer tal façanha mostrar um alerta pra e quem sabe redireciona-lo?

Brigadão.

[Heltinhu]

if($sql != $_SESSION['UsuarioID'] ){
echo"<script>alert('este anúncio não é teu!');</script>";
echo"<script>window.location.href='minha_pagina.php'</script>";
}