witam,
uzywam bazy MySQL i komunikuje sie z nia uzywajac PDO z bindowaniem. korzystac z pliku edit.php moze tylko ten kto ma uprawnienia admina (na poczatku plku zrobiobiony if z session admin), jest to zrobione na sesjach. pomijajac kwestie, ze mozna ukrasc sesje to poza tym jest to bezpieczne i wystarczy, czy jak sie jeszcze trzeba zabezpieczyc?

i takie drugie pytanie przy okazji. admin moze wchodzic do pliku edit.php z poziomu index.php i admin.php. po skonczonej edycji przywraca go do admin.php, a mozna jakos rozpoznac, czy wszedl do strony z index.php czy admin.php i potem przywrocic go na ta sama?

pozdrawiam

jeśli chodzi o drugie pytanie to może

[PHP] pobierz, plaintext 
$_SERVER['SCRIPT_NAME'];
$_SERVER['SCRIPT_FILENAME'];
 
[PHP] pobierz, plaintext 

i zapisać do sessi z którego pliku wszedł i w pliku edycji sprawdzić z którego i go do tego samego przekierować

to jest mój pomysł może ktoś będzie miał lepszy

Zabezpiecz jeszcze formularze przed CSRF ( token w ukrytym polu formularza oraz w ciasteczku/sesji, po wysłaniu formularza sprawdzasz czy się zgadzają)

dzieki, a uzywajac PDO jestem juz zabezpieczony przed XSS i SQL INJECTION, czy cos jeszcze robic?
a co do samego html i PHP? htmlspecialchars wystarczy, czy powinno czegos sie jeszcze uzywac?

nikt nie zabezpiecza stron, czy sie nikomu nie chce napisac...

Baza danych nie ma nic do XSS a co za tym idzie PDO nie ma nic do XSS. XSS to inny poziom