Originariamente inviato da Mariuccia1970
Questo succede poichè, all'interno della pagina2.php, vi è la seguente istruzione:
$password=$_POST('password');
Essendo $_POST una variabile superglobale che non posso eliminate, mi valorizza la variabile $password anche senza passare per il form della pagina1.php e mi fa l'accesso all'area riservata.
Questa non l'ho capita ... e con cosa si valorizzerebbe la variabile $password? Anche utilizzando cURL e passando un valore in POST bisognerebbe comunque conoscere la password. Se l'accesso avviene comunque allora c'è un problema nella script.
Inoltre, per evitare l'accesso a pagine non autorizzate puntandole direttamente basterebbe verificare, ad esempio, la presenza di un qualche parametro in sessione che viene impostato solamente nel caso in cui si effettui il giro "normale" ed in caso esso non sia presente visuallizzare un messaggio di accesso negato oppure effettuare un redirect ad una pagina di cortesia.