Ciao,
il consiglio di Alhazred è corretto,
nel codice della pagina 'area_riservata.php' resettano i dati inseriti nella sessione dallo script 'autentica.php' ( ovvero le chiavi user e pass ).codice:$_SESSION = array(); session_destroy();
Queste 2 righe di codice non dovrebbero stare in ogni pagina, ma solo in una pagina di logout,
analoga a autentica.php, ma che fa il lavoro inverso:
logout.php
Non capisco alla perdita di quale protezione tu ti stia riferendo, la verifica in cima alle pagine riservate non fa accedere se nella sessione non sono presenti determinati dati.codice:session_start(); $_SESSION = array(); session_destroy();
E parlando di dati nella sessione, non salvare la password, non ti serve a nulla, piuttosto salva tutti i dati utente che ti servono, es.
Note del codice di sopra: $datiUtente può benissimo essere un array.codice:$datiUtente = new StdClass(); $datiUtente->id = 1; $datiUtente->username = 'pippo'; $_SESSION['auth'] = $datiUtente;
Avendo i dati utente nella sessione, potrai agevolmente recuperare vari dati relazionati ad esso usando l'id, o anche solo visualizzare il suo nome e cognome ( o username ) fin quando questo rimane connesso ( valori che puoi prendere dalla sessione ).
Detto questo, appendere variabili GET alle url non è necessario.
Altri dubbi?
Ciao
Rispondi quotando