ciao, premetto che è la prima volta che affronto le sessioni, e che me la cavo in modo un po maccheronico con php. girando su questo forum ho scopiazzato un po di codici e sono arrivato a realizzare questo:
login.php
amministrazione.php (pagina riservata)codice:<? $nome = $_POST['nome']; $password = $_POST['password']; $pagina = "amministrazione.php"; $connection= mysql_connect("xxxxxxx","xxxxxxxx","xxxxxxxx"); $db=mysql_select_db("xxxxxxxxxx",$connection); $query = "SELECT * FROM area_riservata WHERE nome = '$nome' AND password = '$password'"; $result = mysql_query($query) or die (mysql_error()); $totalrows = mysql_num_rows($result); if($totalrows == 1){ session_start(); $_SESSION['nome'] = $nome; $_SESSION['password'] = $password; print("<script>window.location='".$pagina."'</script>"); } else{ echo "I dati inseriti non sono presenti nel database."; } mysql_close($connection); ?>
volevo chiedere se questo sistema può garantire un discreto livello di sicurezza o ci sono altri aspetti che devo tenere in considerazione, e se la parte del <body> di amministrazione.php è corretta o anche questa (includendo i dati dell amministratore) è a rischio.codice:<?php $nome = $_POST[$nome]; $password = $_POST[$password]; if(session_id() == "") { session_start(); } if(!isset($_SESSION['nome']) || $_SESSION['nome'] != $nome || !isset($_SESSION['password']) || $_SESSION['password'] != $password) { print("<script>window.location='form.html'</script>"); } ?> <html> <head> <title>Documento senza titolo</title> </head> <body> <? if($_SESSION['nome'] == "a" and $_SESSION['password'] == "1"){ echo "visualizzo tutto perche chi si è identificato è l amministratore"; } else { echo "si è identificato". $nome ." quindi viene visualizzata solo la parte che riguarda lui"; } ?> </body> </html>
confido nella vostra esperienza. ciao a tutti
Rispondi quotando