Originariamente inviato da Takeno
basterà includere in ogni pagina protetta uno script che ricontrolla le sessioni e se non sei abilitato, ti rimanda all'index
Non e' sufficiente... in questo modo un utente che e' passato dalla index avra' la sessione attiva e potra' modificando l'url includere qualunque cosa gli pare..... molti spammer fanno cosi', includono una pagina contenente un form e il codice per inviare mail nella tua pagina bacata.... e poi usano il tuo server per inviare mail.....

Per fare una cosa del genere bosogna accuratamente controllare che il valore passato via get abbia la struttura che si si attende e che non includa pagine via http o altri protocolli, il semplice controllo di una sessione non e' sufficiente.