form - post e ritorno indietro

[Alhazred]

Attenzione al fatto che se le maschere in cui vuoi avere questa funzionalità sono più di una...

Non mi è chiaro cosa intendi per "maschera".

Intravedo MOLTI modi di usare questo per leggere a mio piacimento qualsiasi cosa scritta in sessione!

Il soggetto relativo a "mio" è "io gestore del sito" oppure "io che sto navigando sul sito"?

Nel primo caso non vedo il problema, il gestore del sito ha infiniti modi in ogni caso di sapere ciò che l'utente fa sul sito e scrive nei form.
Nel secondo caso come fa il navigatore a vedere quello che vuole? Al limite può cambiare i nomi dei campi dei vari form, ma non può specificare indici diversi per l'array $_SESSION in modo da vedere altri dati che non siano quelli specificati da chi ha scritto il codice.

[Shores]

Non mi è chiaro cosa intendi per "maschera".


Il soggetto relativo a "mio" è "io gestore del sito" oppure "io che sto navigando sul sito"?

Nel primo caso non vedo il problema, il gestore del sito ha infiniti modi in ogni caso di sapere ciò che l'utente fa sul sito e scrive nei form.
Nel secondo caso come fa il navigatore a vedere quello che vuole? Al limite può cambiare i nomi dei campi dei vari form, ma non può specificare indici diversi per l'array $_SESSION in modo da vedere altri dati che non siano quelli specificati da chi ha scritto il codice.

Per maschera intendo form: se sul sito c'è una form per iscriversi alla newsletter, e un'altra diversa per mandare una email di contatto, ed entrambe hanno un campo "email", e uso questo stesso sistema, mi ritrovo che il valore che ho scritto nel campo email della nl mi appare anche nel campo email di contatto, e anche se in questo esempio non è terribile, può diventare fastidioso.

Per il secondo discorso, il consiglio di codencode, se l'ho capito bene, è che ci fosse nel $_POST in arrivo una cosa che viene usata per sapere a quale maschera mi riferisco:

$_SESSION[$_POST["_nomemaschera_"]]["nomecampo"]

Questo io lo vedo come rischioso, perchè significa che potenzialmente un attaccante può inviare in $_POST["_nomemaschera_"] qualcosa che viene direttamente usato come indice di $_SESSION, il che non è una buona idea...

[Alhazred]

Per maschera intendo form...

Capito ed hai ragione.

Per il secondo discorso, il consiglio di codencode, se l'ho capito bene, è che ci fosse nel $_POST in arrivo una cosa che viene usata per sapere a quale maschera mi riferisco:

$_SESSION[$_POST["_nomemaschera_"]]["nomecampo"]

Questo io lo vedo come rischioso, perchè significa che potenzialmente un attaccante può inviare in $_POST["_nomemaschera_"] qualcosa che viene direttamente usato come indice di $_SESSION, il che non è una buona idea...

Ricorda però che l'attaccante vede la sua sessione, non quella di un altro utente, quindi al più vedrà dati che riguardano se stesso e non se ne fa molto, già li conosce.