Duda con permisos sobre acciones en PHP

delta132 · #1 (**permalink**) 13/06/2010, 15:26

Hola a todos, estoy creando un sistema para una biblioteca y tengo una duda con los permisos para los usuarios que se crean en el sistema, tengo tres perfiles, los Administradores pueden eliminar por ejemplo libros, los demas no:

- Administradores
- Trabajadores
- Consultores

Cada permiso esta almacenado en una variable de session llamado "permiso".

Tengo un módulo donde se visualizan los libros creados, listo los libros asi:

Código:

<body>
<table border="1">
<tr>
  <td>Nombre</td>
  <td>Género</td>
  <?php 
     if( $_SESSION["permiso"] == 1 ) //Significa que es administrador muestro la opción de eliminar
      <td>Eliminar</td>   
  ?>
</tr>
<?php
$sql  = myslq_query("SELECT id_libro,nombre, genero FROM libros WHERE estado = '1' ");
while( $libro = mysql_fetch_array( $sql )) {
   ?>
    <tr>
        <td><?php echo $libro["nombre"];?></td>
        <td><?php echo $libro["genero"];?></td>
        <?php 
         if( $_SESSION["permiso"] == 1 ) //Significa que es administrador
           <td><a href ="eliminarlibro.php?id_libro=<?php echo $libro["id_libro"]">Eliminar</a></td>   
        ?>
    </tr>
   <?php
}
?>
</table>
</body>

Pero tengo una duda, esta forma es adecuada? es decir, en cada página tendría que controlar qué puede hacer cada usuario, en este caso compruebo si es administrador y muestro las opciones de eliminar, pero si yo quisiera que el usuario consultor también eliminara en este modulo de libros pero en los demás no, tendría que hacer un OR en cada IF y si quisiera en otras páginas el proceso sería muy tedioso, de que otra forma puedo manejar esto de manera más optima?

Gracias por las sugerencias que me puedan brindar.

maycolalvarez · #2 (**permalink**) 13/06/2010, 15:58

almacena en permiso un array de privilegios (o banderas binarias como gustes), el echo es que especifiques en las claves el privilegio y su valor sea true o false, de esta forma puedes saber si el usuario tiene el privilegio, incluso puedes diseñarlo de tal forma que lo cargues de una base de datos.

ejemplo, supongamos que a un administrador le concedo estos privilegios:
$_SESSION['permiso'] = array("leer_libro"=>true, "borrar_libro"=>true, "subir_libro"=>false);

y a un consultor:

$_SESSION['permiso'] = array("leer_libro"=>true, "borrar_libro"=>false, "subir_libro"=>false);

entonces:
<?php
if( $_SESSION["permiso"]["borrar_libro"] == true ) //Significa que tiene ese privilegio independientemente de su perfil muestro la opción de eliminar
<td>Eliminar</td>
?>

De_la_Cuesta_13 · #3 (**permalink**) 13/06/2010, 21:59

Se me ocurre que a cada página asignes un número relacionado con el permiso. Por ejemplo:

1 -> Consultores
2 -> Trabajadores
3 -> Administradores

Donde es 1 un permiso para todos, y 3 exclusivo administradores.

Ahora, si a eliminar libro asignas permiso 3, sólo quienes tengan como acción 3 podrán manipular. O bien, el caso que sea permiso 2 (algo como desde mayor o igual a 2) podrán utilizar el servicio, que en tu caso sería trabajadores y administradores.

No se si me hecho entender. xD. El hecho es que con tan sólo un if revisas si se puede o no estar en el sitio.

Saludos.