[MySQL][PHP]Publikowanie artykułów zatwierdzanych przez admina Opcje

[memphis]

Witam wszystkich, jestem początkującym adeptem PHP i mam parę pytań. Już opisuję w czym tkwi problem. Mam do stworzenia prosty serwis konferencyjny w którym użytkownik może publikować ogłoszenia (bez zatwierdzenia ich przez admina), artykuły ( użyłem tego samego skryptu jak do tworzenia ogłoszeń, tylko że doszedł jeszcze tamat artykułu). Dodatkowo może publikować (uploadować) pliki *.html, *.doc oraz *.txt. Do strony głównej dostęp jest przyznany tylko po zalogowaniu, jest skrypt sprawdzający sesję użytkownika ( czy to admin, redaktor czy user). Po sprawdzeniu sesji, wszystkie działania przekazywane są do odpowiedniego pliku *.inc tzn admin.inc, redaktor.inc oraz user.inc. Gdy na stronę loguje się admin, posiada uprawnienia swoje, usera oraz redaktora, czyli tak na prawdę udział biorą 3 pliki *.inc. Jeśli loguje się redatkor plik adminowski nie jest już includowany itd. Mam problem z zamieszczeniem artykułu który mógłby zostać opublikowany dopiero po zatwierdzeniu przez admina.
Po drugie problem z uploadem plików. Póki co mam zrobione wgrywanie pliku *.doc o wielkości do 1mb, nie wiem za bardzo jak zrobić filtr na 3 typy plików które wymieniłem wyżej.

[PHP] pobierz, plaintext 
if ($_FILES['plik']['type'] != 'aplication/msword')
        {
        echo 'Pliki inne ni?? dokumenty MS Word nie są akceptowane.<br>';
        break;
    }
[PHP] pobierz, plaintext 

Przedstawię wam to co udało mi się zrobić, może ktoś będzie umiał mi pomóc. Z góry dziękuję.
Struktura bazy artykuły:

[SQL] pobierz, plaintext 
CREATE TABLE IF NOT EXISTS artykuły 
id INTEGER NOT NULL AUTO_INCREMENT PRIMARY KEY, 
id_autora INTEGER, 
DATA DATETIME, 
tytuł TEXT,
tresc TEXT;
[SQL] pobierz, plaintext 

a to plik user.inc

[PHP] pobierz, plaintext 
if (isset($_POST['nowy_artykuł']))
{
	$_POST['artykuły'] = htmlspecialchars($_POST['artykuły'], ENT_QUOTES);
 
	$query = "INSERT INTO artykuły ".
	"(id_autora, data, tytuł, tresc) ".
	"VALUES ('{$_SESSION['id']}', NOW(), '{$_POST['artykuły']}', '{$_POST['tytul']}');";
 
	mysql_query($query);
}
else if (isset($_POST['usun_artykuł']))
{
	mysql_query("DELETE FROM artykuły WHERE id={$_POST['id']}");
	return;
}
 
 
if ($_GET['p'] == "ausunart")
	mysql_query("UPDATE uzytkownicy SET email='', haslo='' WHERE id={$_GET['id']}");
 
else if ($_GET['p'] == "ausunart")
{
	echo '<div class="lightbluebox"><p>Usunąć Artykuł ?
	<form method="post" action="'.$_SERVER['PHP_SELF'].'">
	<input name="usun_artykuł" type="submit" value="Tak">
	<input type="hidden" name="id" value="'.$_GET['id'].'">
	</form></p></div>';
}
else if ($_GET['p'] == "akonta" || $_GET['p'] == "ausuna")
{
	$uzytkownicy = mysql_query("SELECT * FROM uzytkownicy WHERE haslo!='';");
	echo '<table>';
	while ($row = mysql_fetch_array($uzytkownicy, MYSQL_ASSOC))
	{
		echo '<tr>'.
		'<td><a href=edycja_u.php?id='.$row['id'].'>edytuj</a></td>'.
		'<td>'.$row['imie'].    '</td>'.
		'<td>'.$row['nazwisko'].'</td>'.
		'<td>'.$row['adres'].   '</td>'.
		'<td>'.$row['uczelnia'].'</td>'.
		'<td>'.$row['wydzial']. '</td>'.
		'<td>'.$row['email'].   '</td>'.
		'<td>'.$poz[$row['poziom']].'</td>'.
		'<td><a href=index.php?p=ausunart&id='.$row['id'].'>usuń</a></td>'.
		'</tr>';
	}
	echo'</table>';
}
else if ($_GET['p'] == "aartykul")
{
	echo '<form action="'.$_SERVER['PHP_SELF'].'" method="POST">
	Tytuł: <br><textarea rows="1" cols="80" name="tytuł"></textarea><br>
	Treść:<br><textarea rows="10" cols="80" name="artykuł"></textarea><br>
	<input type="submit" name="dodaj_ogloszenie" value="Dodaj">
	</form>';
 
}
 
echo'##############################################';
			/* DODAWANIE OGŁOSZENIA ############################## */
if (isset($_POST['dodaj_ogloszenie']))
{
	$_POST['ogloszenie'] = htmlspecialchars($_POST['ogloszenie'], ENT_QUOTES);
 
	$query = "INSERT INTO ogloszenia ".
	"(id_autora, data, tresc) ".
	"VALUES ('{$_SESSION['id']}', NOW(), '{$_POST['ogloszenie']}');";
 
	mysql_query($query);
}
else if (isset($_POST['usun_ogloszenie']))
{
	mysql_query("DELETE FROM ogloszenia WHERE id={$_POST['id']}");
	return;
}
 
 
if ($_GET['p'] == "ausun")
	mysql_query("UPDATE uzytkownicy SET email='', haslo='' WHERE id={$_GET['id']}");
 
else if ($_GET['p'] == "ausunogl")
{
	echo '<div class="lightbluebox"><p>Usunąć ogłoszenie?
	<form method="post" action="'.$_SERVER['PHP_SELF'].'">
	<input name="usun_ogloszenie" type="submit" value="Tak">
	<input type="hidden" name="id" value="'.$_GET['id'].'">
	</form></p></div>';
}
else if ($_GET['p'] == "akonta" || $_GET['p'] == "ausun")
{
	$uzytkownicy = mysql_query("SELECT * FROM uzytkownicy WHERE haslo!='';");
	echo '<table>';
	while ($row = mysql_fetch_array($uzytkownicy, MYSQL_ASSOC))
	{
		echo '<tr>'.
		'<td><a href=edycja_u.php?id='.$row['id'].'>edytuj</a></td>'.
		'<td>'.$row['imie'].    '</td>'.
		'<td>'.$row['nazwisko'].'</td>'.
		'<td>'.$row['adres'].   '</td>'.
		'<td>'.$row['uczelnia'].'</td>'.
		'<td>'.$row['wydzial']. '</td>'.
		'<td>'.$row['email'].   '</td>'.
		'<td>'.$poz[$row['poziom']].'</td>'.
		'<td><a href=index.php?p=ausun&id='.$row['id'].'>usuń</a></td>'.
		'</tr>';
	}
	echo'</table>';
}
else if ($_GET['p'] == "aogloszenie")
{
	echo '<form action="'.$_SERVER['PHP_SELF'].'" method="POST">
	Treść:<br><textarea rows="10" cols="80" name="ogloszenie"></textarea><br>
	<input type="submit" name="dodaj_ogloszenie" value="Dodaj">
	</form>';
}
 
[PHP] pobierz, plaintext 

[Spawnm]

Czemu aby user opublikował artykuł musi przesyłać go plikiem? Daj mu <textarea>.
Twój upload da się oszukać.
+ strona podatna na xss oraz sql injection.
+nie mieszaj logiki php z html.

[memphis]

Czemu aby user opublikował artykuł musi przesyłać go plikiem? Daj mu <textarea>

Artykuł ma być jak najbardziej wysyłany polem tekstowym. Przesyłane mają być pliki z jakimiś duperelkami które nie nadają się do pola tekstowe, np referat w wordzie z odpowiednim formatowaniem. Co do zabezpieczeń, to nie ma być ambitny projekt, mam go na zaliczenie przedmiotu na uczelni.