Posso sbagliarmi.Originariamente inviato da freeman74
ma la cartella tmp è comunque esterna al webserver, quindi non raggiungibile dagli utenti...o mi sbaglio?
Molte delle cose che ho imparato le ho apprese tramite questo forum e qualche mese fa quando iniziai a studiare il php feci il mio primo script per il login che postai su questo forum
http://forum.html.it/forum/showthrea...readid=1378835
Ricevetti cun commento molto utile da mtx_maurizio (bravissimo!!) che a proposito del salvataggio delle sessioni mi disse così:
... e pensa che io non salvavo la password in una variabile di sessione!!!Originariamente inviato da mtx_maurizio
Un altro accorgimento sarebbe quello di definire una cartella dove salvare le sessioni. Se non altrimenti specificato, vengono salvate nella cartella tmp del server (che ha il problema di essere condivisa con tutti gli altri siti che girano su quel server). Usa la funzione session_save_path per definire un percorso interno al tuo sito. Questo è più sicuro.
edit:
http://www.areaaperta.com/?p=53
leggi la parte in cui dice "dove sono le vulnerabilità?"
Rispondi quotando