Witam mam tylko taką rozterkę bo nie chce zacząć pisać i nagle obudzić się z ręką w nocniku.

Chce sobie w cms'ie zrobić usuwanie i dodawanie kategorii za pomocą jquery/ajaxa/js
wiadomo iż skrypt można podejrzeć wiec przekazywane przez skrypt zmienne będą oczywiste.

Do uwierzytelniania użytkowników w php używam sesji i teraz jak będę zalogowany jako admin i prześle zmienne(do uśnięcia kategorii) za pomocą mojego skryptu js do php w którym będzie sprawdzało if sesion bla bla to skrypt php chwyci to ze to wysyłam ja jako admin? czy muszę jakoś sesje przekazać przez js/ajax ?

Do serwera idzie ciastko sesji. Ty już nic nie musisz dodatkowego przekazywać

aaa to spoko czyli bez problemu będąc zalogowany przekaże zmienne przez js i będę odpowiednio zidentyfikowany.

super sprawa.

a jeszcze tylko kwestia na ile to jest bezpieczne, w końcu zmienne GET jak i POST można przechwycić i wysłać czy to z paska adresu czy za pomocą CURL'A, zakładając ze skrypt sprawdza czy jestem zalogowany jako admin jak tak to pozwala dalej pracować każdą zmienna weryfikuje np. jeśli ma być int to sprawdzam czy jest int jeśli jest text to usuwam z niej specjalne znaki html itp czy sesja jest wystarczającym zabezpieczeniem ?

ps. wystarczy słowo kluczowe do gugla sobie wygrzebie o czym poczytać

Niezależnie czy to AJAX czy nie to nie wolno ci ufać danym pochodzącym od użytkownika (bez rożnicy czy to POST czy GET)
Każdą zmienną musisz odpowiednio filtrować.

W dziale PHP masz przypięte tematy na temat bezpieczenstwa oraz ataku sqlinjection

właśnie moje filtrowanie ma na celu uniemożliwienie sqlinjection przez wstrzykniecie kodu typu "/;DROP TABLE"

chodzi mi o to czy zasada sesji + filtrowanie zmiennych zapewnia - dobry poziom bezpieczeństwa, co można by zastosować dodatkowo.

ps. phpinjection to jest np. jak używam bezpośrednio if($_GET==coś) czy if($dana_z_getlubpost==cos) i czy taka zmienna można przesłać z paska adresu np. index.ph?$dana_z_getlubpost=TRUE i jestem zalogowany