Защита от удаления не своих файлов

[PiaHurricane]

в БД скидывать полный путь картинки.

Плюс один лишний запрос к БД. Если посещаемость у сайта большая - это не есть хорошо.

Если контент структурированный, логичнее привязать названия подкаталогов к этой структуре. Например, в случае каталога товаров - к ID или названиям его подразделов.

 

[latteo]

2 вопрос
Насколько безопасны данные в сессии? Например, нужно ли обрабатывать, когда беру из сессии название картинки? Не может ли там оказаться код какой-нибудь, типа SQL, PHP?
Подскажите, пожалуйста...

Данные сессии хранятся на твоём сервере в текстовых файлах или в бд в зависимости от настроек, т.е. в сессиях может быть только то что ты туда сам своим скриптом записал. С пользователем сессия ассоциируется, через определённый id. Вот здесь есть опасность утечки этого id третьим лицам и соответственно авторизации по этому ключу. Для просмотра ссылки Войди или Зарегистрируйся