inviare session_id() via form

[M4V1]

Ahh ok, avevi scritto xss e non avevo capito.

Allora tu devi generare un token, salvarlo come variabile di sessione e inviarlo nel form dentro un hidden field.

Per generare un token (con php 7+) quando apri la sessione puoi fare così:

codice:

session_start();
if (empty($_SESSION['token'])) {
    $_SESSION['token'] = bin2hex(random_bytes(32));
}
$token = $_SESSION['token'];

Questo token poi lo metti dentro un hidden field con nome "token" nel tuo form, così da inviarlo insieme agli altri dati.

Poi nella pagina dove leggi i dati POST inviati dal form verifichi che il token sia corretto:

codice:

if (!empty($_POST['token'])) {
    if (hash_equals($_SESSION['token'], $_POST['token'])) {
         // Qui processi i dati del form
    } else {
         // Qui logghi i casi in cui i due token sono diversi
}

Ovviamente se il token non è presente il form non viene processato.

[aquatimer2000]

...
Questo token poi lo metti dentro un hidden field con nome "token" nel tuo form, così da inviarlo insieme agli altri dati.
..

forse dico una sciocchezza, ma nel momento in cui metto il token in input hidden, dal sorgente è comunque leggibile.. a quel punto che senso avrebbe ?!