Chiedo nuovamente la vosta valutazione sullo script. Ho apportato una serie di modifiche al fine di renderlo più sicuro e gestibile:
0. Eliminata strtolower() su username e password all'interno del login.
1. Se il login ha esito positivo, nel cookie viene memorizzato, oltre all'ID di sessione che nel database è assocato all'utente, un codice ottenuto dalla combinazione di username e passowrd sotto md5(). Questo serve in modo che, quando lo script controlla la presenza della sessione corrispondente al SID, possa anche verificare tramite questo codice l'effettiva apparteneza della sessione all'utente col cookie.
2. Durante la verifica, se l'utente è effettivamente autorizzato, oltre ai suoi dati personali, nell'array $_USER viene aggiunto un valore "auth" booleano per la verifica dell'avvenuta autenticazione, invece che basarla semplicemente sull'esistenza di $_USER.
Il nuovo script, con dump e tutto, è disponibile qui: http://scitrek.altervista.org/login.zip
Rispondi quotando