Area protetta e sessioni

[danilob]

certo che lo apro... In asp avevo creato un record in cui avevo scritto base o medio o avanzato e poi nella pagina da proteggere scrivevo:

<%

utente = session("utente")
accesso = session("accesso")
If IsNull(utente) OR utente = "" or accesso <> "OUNIUH07" Then
Response.Redirect("errore.asp")
End if
nomesess=session("nomesess")
%>

funzionava alla perfezione... In php non riesco, il tuo codice l'ho usato te lo posto sotto controlla ancora tu se è giusto o se ho sbagliato qualcosa...

<?php
session_start();

$path = $_SERVER['PHP_SELF'];
$pagina = basename($path);

if ($pagina != $_SESSION['pagina']){

header('location: pagina_di_errore.php');
exit;

}
?>

[Samleo]

Fai un echo di queste due variabili...

$pagina e $_SESSION['pagina']

[danilob]

il risultato:

prova.phpprova.php prova.php

[Samleo]

Ti compare 3 volte??...

Ma se le due variabili sono uguali in teoria NON dovrebbe andarti in pagina_di_errore.php!!

I misteri del PHP

[danilob]

già e adesso come posso fare.... Stò diventando matto e in + sono negato!

[Samleo]

Hai un pm

[danilob]

cos'è un pm

[Samleo]

Clicca su profilo in alto

Un messaggio privato

[danilob]

Samleo sono riuscito non sò come a visualizzare la pagina una volta immesso il login e la password...

La cosa che non mi riesce ancora è impedire che altri utenti registrati possano entrare nella mia pagina .....

Esempio:

danilo ha la pag. protetta prova.php
grazia ha prova2.php

adesso se grazia scrive l'indirizzo di prova.php può vederla e io non vorrei...

[gianf_tarantino]

Innanzitutto controlla se hai in php.ini la variabile (non ricordo di preciso il nome) register_global impostata ad off altrimenti hai un pò di problemi.

Poi, scusa ma usa nomi diversi per le variabili anche per dare un senso + logico alle cose.
Tipo

$pagina_attuale = basename($path);

mentre in $_SESSION ci metti pagina_permessa.


Un consiglio. Nel file di autenticazione non devi:

1) creare la sessione;
2) validare log e pass;
3) salvare nella sessione log e pass se valide

Ma,

1) validare log e pass;
2) crei la sessione SOLO DOPO che log e pass sei sicuro siano validi;
3) salvi i dati nella sessione.

Poi, se la login è univoca per ogni utente, allora non c'è bisogno di salvare nella sessione login e pass ma basta salvare solo la login e nella pagina controllo.php prendi i dati dal DB solo in base al login. Anche perché se ti dovessere "sniffare" la sessione almeno ti prendono solo la login: in tal modo se un domani volessero accedere non lo possono fare perché hanno solo la login.