Quote Originariamente inviata da Alhazred Visualizza il messaggio
Non mi è chiaro cosa intendi per "maschera".


Il soggetto relativo a "mio" è "io gestore del sito" oppure "io che sto navigando sul sito"?

Nel primo caso non vedo il problema, il gestore del sito ha infiniti modi in ogni caso di sapere ciò che l'utente fa sul sito e scrive nei form.
Nel secondo caso come fa il navigatore a vedere quello che vuole? Al limite può cambiare i nomi dei campi dei vari form, ma non può specificare indici diversi per l'array $_SESSION in modo da vedere altri dati che non siano quelli specificati da chi ha scritto il codice.
Per maschera intendo form: se sul sito c'è una form per iscriversi alla newsletter, e un'altra diversa per mandare una email di contatto, ed entrambe hanno un campo "email", e uso questo stesso sistema, mi ritrovo che il valore che ho scritto nel campo email della nl mi appare anche nel campo email di contatto, e anche se in questo esempio non è terribile, può diventare fastidioso.

Per il secondo discorso, il consiglio di codencode, se l'ho capito bene, è che ci fosse nel $_POST in arrivo una cosa che viene usata per sapere a quale maschera mi riferisco:

$_SESSION[$_POST["_nomemaschera_"]]["nomecampo"]

Questo io lo vedo come rischioso, perchè significa che potenzialmente un attaccante può inviare in $_POST["_nomemaschera_"] qualcosa che viene direttamente usato come indice di $_SESSION, il che non è una buona idea...