ho fatto un login molto semplice e visto che servirà ad un solo utente, ho deciso di non usare dati memorizzati in un database... ma ho un dubbio: facendo il controllo direttamente ( if (($id=="prova")&&($pass=="prova")) ) si rischia qualcosa? c'è modo di oltrepassare questo controllo?
In definitiva sono nei casini???
Il problema dell'autenticazione è un problema molto vecchio per chi programma applicazioni web.
I login multipli vengono gestiti da db. Se vuoi qualcosa di fatto bene. Potresti optare anche per un file di testo che contenga user e password degli utenti.
La problematica maggiore sta nel portarsi dietro il login corretto per tutte le pagine dell'applicazione, altrimenti si potrebbe tranquillamente bypassare e ti fregano.
Io ti consiglio per stare tranquillo di crearti un db con gli account degli utenti, fare il login e utilizzare le sessioni per salvare i dati. Controllare ad ogni pagina se il login è stato effettuato appunto richiamandoti le sessioni stesse.
A presto
a questo punto potresti anche proteggere semplicemente la cartella specifica a cui accedere dopo il login tramite .htaccess
Le sessioni le usavo già nelle pagine riservate solo all'utente, il mio dubbio era solo se scrivere direttamente il controllo per l'id e la pass in quel modo potesse rendere tutto più vulnerabile... immagino dunque che seguirò il vostro consiglio ed userò un db... magari prima o poi ci saranno anche altri utentiGrazie mille!
Non so nulla di .htaccess ... mi informerò!!
Permessi di invio
Rispondi quotando