Aqui tienes el codigo para crear un nuevo usuario.

if($_POST[newuser]) {
if(mysql_query("INSERT INTO `usuarios` (`id` ,`nombre` ,`pass` ,`email` ,`rango`)VALUES (NULL , '".$_POST[name]."', '".md5(md5($_POST[pass]))."', '".$_POST[mail]."', '".$_POST[rango]."');")) {
$_SESSION[panel] = "Nuevo User";
} else {
$_SESSION[panel] = "ENuevo User";
}
$_SESSION[panelop] = $_POST[name];
header("Location: panel.php");
}


¿Como puede un usuario Redactor, o Moderador, crear un nuevo formulario si no puede acceder al formulario para el mismo?

Saludos

P.D.= De todas formas te digo que el sistema tiene algunos problemas de constantes y puede ser atacado por inyeccion sql en algunos servidores, en proximas versiones tratare estos dos problemas.

Naveda agregare eso en proximas actualizaciones.
Alienmaster, ahora lo entiendo. ¿Sabes alguna forma de poder evitarlo?
Me imagino que con $_SERVER['HTTP_REFERER'] sobrara no?

Un saludo

Pero ahora que lo pienso, de todos modos tengo arriba del todo tengo un
 if($_SESSION[usuario]) { 
Asi que si viene de otro formulario, la $_SESSION['usuario'] no existiria y no podria ejecutar codigo. ¿No es cierto?
¿O si esta logueado ya en un usuario cualquiera, puede usar el formulario desde otro dominio, o su maquina local?

Tambien tengo el rango del usuario en una session, si hago un if indicando si el rango escrito en la session no es el de administrador y que de error, ¿Seria vulnerable de alguna forma?

Saludos

Eso ya lo se.
Pero en $_SESSION usuario, si no existe, no puede hacer ninguna tarea en el archivo funciones.php, mi pregunta es si le dejara usarlo si el formulario viene desde otro dominio distinto al del sistema kNews.

Lo segundo es que $_SESSION rango contiene el rango del usuario, asi que con solo con poner un if para comprobar si el rango es Admin ya seria seguro. ¿No?

Un saludo