domanda su SESSIONI

[TommyGun]

Salve a tutti,
ho fatto vedere il codice seguente ad un mio prof,
e non sò perchè ma ha un pò storto! Sapreste mica dirmi qual'è il problema??

Il codice mostrato lo utilizzo per bloccare eventuali accessi indesiderati all'interno di un area protetta:

nella pagina di login ho inserito:
<? session_start();
$_SESSION['user'] = $cognome;
$_SESSION['psw'] = $psw;
?>

mentre le singole pagine le ho protette in questo modo:
<? session_start();
if (isset($_SESSION['user']) and isset($_SESSION['psw']))
{ ...corpo della pagina... }
else header("location: ../login.htm"); ?>

Grazie a tutti.

[grigomax]

ma a parte che dopo else di apre la graffa e alla fine si chiude..

è uno script semplice che verifica solo se le sessioni esistono. ma non verificano il contenuto.

Diciamo che è sempliciotta.. la stessa cosa potresti farla con i cookie.

Se io creo delle sessioni con lo stesso nome, entro nella parte del sito protetta, perché non viene verificato in nessun modo i contenuti della sessione. In cognome e password potrebbere esserci anche un semplice carattere come lo spazio.

Io nel mio programma per garantire un controllo ho dovuto sempre verificare all'interno del database il campo utenti.

Ciao

[piero.mac]

Originariamente inviato da TommyGun
Salve a tutti,
ho fatto vedere il codice seguente ad un mio prof,
e non sò perchè ma ha un pò storto! Sapreste mica dirmi qual'è il problema??

Il codice mostrato lo utilizzo per bloccare eventuali accessi indesiderati all'interno di un area protetta:

nella pagina di login ho inserito:
<? session_start();
$_SESSION['user'] = $cognome;
$_SESSION['psw'] = $psw;
?>

mentre le singole pagine le ho protette in questo modo:
<? session_start();
if (isset($_SESSION['user']) and isset($_SESSION['psw']))
{ ...corpo della pagina... }
else header("location: ../login.htm"); ?>

Grazie a tutti.

Storcerei il naso anche per l'uso del tag php. Molto meglio imparare ad usare <?php in forma estesa poiche' anche XML usa <? e potrebbero poi nascere incompatibilita' anche a breve termine.

Poi il naso mi cadrebbe proprio a vedere user e password portati a spasso nelle sessioni. Per la verifica gia' ti hanno detto.

[TommyGun]

Originariamente inviato da grigomax
Io nel mio programma per garantire un controllo ho dovuto sempre verificare all'interno del database il campo utenti.

Ciao

cioè stai dicendo che prima di mostrare il corpo della pagina
dovrei andare sempre a verificare i dati contenuti in $_SESSION all'interno del Database??

[TommyGun]

Originariamente inviato da piero.mac
Storcerei il naso anche per l'uso del tag php. Molto meglio imparare ad usare <?php in forma estesa poiche' anche XML usa <? e potrebbero poi nascere incompatibilita' anche a breve termine.

Ok devo imparare ad utilizzarlo come si deve!

Poi il naso mi cadrebbe proprio a vedere user e password portati a spasso nelle sessioni.

In che senso scusa, come potrei fare per verificare il diritto d'accesso senza portarmeli dietro??

[gianiaz]

Originariamente inviato da TommyGun
Ok devo imparare ad utilizzarlo come si deve!


In che senso scusa, come potrei fare per verificare il diritto d'accesso senza portarmeli dietro??

lo verifichi in una pagina di accesso e se va a buon fine setti una variabile in sessione che contiene ad esempio 1 se sei loggato e 0 se non lo sei.
Nelle varie pagine poi verfichi questa variabile.


ciao

[piero.mac]

Originariamente inviato da TommyGun
In che senso scusa, come potrei fare per verificare il diritto d'accesso senza portarmeli dietro??

Quando l'utente ti passa user e pwd, verificane l'esistenza e i diritti che possiede. Poi in sessione trasferisci, sempre come esempio, il tipo di privilegio e volendo il nickname per i saluti. Il tipo di privilegio potrebbe sempre per esempio, distinguere uno user normale da uno con privilegi di admin. Il valore potrebbe essere un codice ovviamente.

La password non dovrebbe mai essere estratta dalla tabella, ma solo confrontata. La sessione tramite l'id provvedera' a mantenere l'identita' dello user.

[TommyGun]

Chiarissimi entrambi,

mille grazie!