Ragazzi ho un problema da due giorni.
In pratica è più una tempesta nel mio cervello ma sono due giorni che mi sto scervellando su alcune cosucce da poco conto.
Diciamo che ho un form di login, ma può essere qualsiasi altro form che dialoga in tempo reale (mettiamo tramite ajax) con un file che opera in remoto sul server.
Insomma una situazione classica ma vengo al punto, come risolvere alcuni parametri di sicurezza?
Esempietto classico, form di login, devo inserire account e password, il protocollo ajax interroga il database per dirmi se ho scritto bene l'account, si connette a verifica.php che apre una connessione al database e verifica se l'account pincopallo è registrato nel DB quindi manda una risposta positiva o negativa a seconda dei casi. Bene, fin qui tutto normale.
Ora il mio problema, cosa impedisce a chiunque di connettersi direttamente a verifica.php e fare una scansione remota di tutto il database alla ricerca di nomi di account registrati nel DB (è un esempio banale ma non è questo il punto ma la possibilità di impedirlo).
Le ho pensate tutte, ovvero la possibilità di non usare ajax ma di un controllo solo dopo aver premuto il tasto invio, caso classico, ma io voglio un controllo bidirezionale senza attesa, quindi ajax.
Una verifica tramite sessione, in effetti se creo una pagina in php sul mio server quando mi connetto all'altro server i dati di sessione devono essere diversi. Altra cosa è verificare l'host.
Ma se uso ajax non mi server controllare tutto questo perché mi basta creare una pagina in html e poi lanciarla nel browser, mi resta il problema della sessione, in html non dovrei poterla scatenare e un controllo su questo dato mi dovrebbe preservare, ma può essere la soluzione al mio caso?
C'avete capito qualche cosa di quanto ho scritto?