Guestbook: passare dati con sicurezza

**fede_87ch** · 17-08-2006, 12:54

Codice PHP:


<?php

$data = time();

echo "<input type=\"hidden\" name=\"data\" value=\"$data\">";

$ip = $_SERVER['REMOTE_ADDR'];

echo "<input type=\"hidden\" name=\"ip\" value=\"$ip\">";

php?>

Salve a tutti. Sto riprogettando il mio rudimentale GB in php e mi sono accorto di una cosa. Con il codice che usavo sopra per salvare l'ip, questo veniva elaborato dal server e appariva come campo hidden nel form. Il problema è che un utente un po' accorto può modificare qualsiasi valore che viene passato anche se è hidden.

La soluzione più semplice nel caso dell'ip è registrarlo nella pagina dove vengono elaborati, ma per altri campi? Che magari sono stati passati con variabili da pagine precedenti? come si fa a passarli in modo che non possano venir modificati?

grazie a tutti

**davidino80** · 17-08-2006, 13:02

se non ti serve il form puoi passarlo su un link, però cmq è visibile.

http://www.tuosito.it/pagina.php?campo=xxx

in pagina.php usi $_GET['campo'] per riprenderlo..
oppure bisognerebbe provare con un global, ma di più non saprei..

**fede_87ch** · 17-08-2006, 13:07

si quello si. ma io voglio che non possa venir modificato.

Avevo pensato alle sessioni. Però se uno modifica il codice della sessione modifica anche tutti i dati no?

**davidino80** · 17-08-2006, 13:10

Originariamente inviato da fede_87ch
si quello si. ma io voglio che non possa venir modificato.

Avevo pensato alle sessioni. Però se uno modifica il codice della sessione modifica anche tutti i dati no?

beh se usi le sessioni vai sul sicuro, controlli l'id passato dalla sessione stessa e sei apposto, in modo che se uno lo modifica in GET non ne tieni conto.

non capisco cosa intendi con:

Però se uno modifica il codice della sessione modifica anche tutti i dati no?

**davidino80** · 17-08-2006, 13:10

Originariamente inviato da davidino80
beh se usi le sessioni vai sul sicuro, controlli l'id passato dalla sessione stessa e sei apposto, in modo che se uno lo modifica in GET non ne tieni conto.

non capisco cosa intendi con:

Però se uno modifica il codice della sessione modifica anche tutti i dati no?

**fede_87ch** · 17-08-2006, 13:12

ah ok. se uno modifica il codice della sessione semplicemente nn succede niente? mhmhm.. mi dovrò studiare qualche pagina sulle sessioni...

**davidino80** · 17-08-2006, 13:19

Originariamente inviato da fede_87ch
ah ok. se uno modifica il codice della sessione semplicemente nn succede niente? mhmhm.. mi dovrò studiare qualche pagina sulle sessioni...

modificare il codice della sessione?? mmm.. leggi questa pillolina

**fede_87ch** · 17-08-2006, 13:26

mi sa che parlavo del sID...

Un po' OT

Ma anche per gestire utenti lo strumento più comodo sono le sessioni? Serve il database?

**davidino80** · 17-08-2006, 13:31

sessioni+database è quello più sicuro.
leggi bene la pillola, è molto chiara.

cmq per un semplice guestbook non diventare matto.
io, per impedire che spammino, ho messo un semplice codice random che l'utente deve copiare.
lo passo come te con form hidden e non ho nessun problema.
(lascia perdere filtri su IP e cose varie)

ciao

**carlo2002** · 17-08-2006, 13:32

ma perchè vuoi passare l'ip dal form? non è più pratico ottenerlo nella pagina che inserisce il messaggio nel GB. in questo modo non è modificabile.

edit:
pardon, lo avevi già specificato. ho peccato di fretta

Discussione: Guestbook: passare dati con sicurezza

Strumenti discussione

Ricerca discussione

Visualizza

Guestbook: passare dati con sicurezza

Permessi di invio