Salve sto facendo un sito con l'autenticazione utente e mi funziona tutto, solo che vorrei qualche vostro consiglio
ho una pagina login.php
a questa pagina vengono mandati nome utente e password inseriti in un form precedente
qusta pagina fa il controllo:
molto semplice controlla se nel BD c'è un id_utente che ha una login uguale a quella passata dal form precendente; poi controlla se la password di questo utente corrisponde alla password passata dal formCodice PHP:
$query_username = mysql_query("SELECT id FROM operatore WHERE login ='$username' ");
if(list($id_utente) = mysql_fetch_row($query_username)){
$query_password = mysql_query("SELECT password FROM operatore WHERE id = '$id_utente'");
list($password_db) = mysql_fetch_row($query_password);
if($password_db == $password)
$_SESSION['login'] = $id_utente;
}
e questo è facile... se queste condizioni sono soddisfatte mette in una variabile sessione l'id utente.
ogni volta che voglio far visualizzare una pagina riservata o una pagina relativa all'utente controllo se la sessione è settata
ORA questa mia procedura ha qualche falla di sicurezza? si puo migliorare in qualche modo?Codice PHP:if(isset($_SESSION['login'])) {
pagina che voglio far visualizzare solo alla persona LOGGATA
}
avevo pensato ogni volta (ad esempio) che volevo visualizzare una pagina riservata controllare se nel DB fosse presente un utente con quell'id ecc...
aspetto notizie grazie
Rispondi quotando