[php/mySQL] SQL injection - obawy

0

Witam. Napisałem system intranet dla swojej strony. Mam jednak pewne obawy.
Korzystam z takich funkcji jak htmlspecialchars wszędzie gdzie mam wprowadzać jakieś dane itp.
Do usuwania danych z bazy korzystam z pliku (przykład) delete.php?=id=4

W treści pliku zamieszczam kod sprawdzający czy użytkownik może usunąć daną informacje. Informacje te pobierane są z sesji.
Przykładowo


if ($_SESSION['access']>3)
  { 

  .... kod z zapytaniem do bazy  

  } else
     echo "Nie masz dostępu do tej stronu"; 

Istnieje metoda żeby ominąć to sprawdzenie? Albo wysłanie do sesji inna wartość access niż ta która jest nadawana podczas logowania?

0
  1. Co ma tresc wspolnego z pytaniem?
  2. Poczytaj o np. session hijacking.

1 użytkowników online, w tym zalogowanych: 0, gości: 1