precisazione:

tutto le pagine dell'admin verificano sempre che l'utente sia un utente abilitato prima di fare qualunque operazione. valutano che la variabile di sessione sia impostata ad uno.

pertanto, ho provato a creare un semplice script con gli stessi campi del form di modifica categorie letti ad esempio da "visualizza sorgente pagina" con l'action della forma l'url completa "http://......./modifica.php" e quando la faccio partire mi mostra il messaggio non sei autorizzato ad entrare.

se la lancio dopo essermi loggato chiaramente modifica il dato.



una ulteriore protezione potrebbe essere quella di valutare sempre il referer (in questo caso la mia paginetta di prova, anche se ha funzionato dopo che mi sono loggato NON FUNZIONEREBBE PIù).

PERò, secondo me sono entrati in altro modo.

idee?

grazie
ciao