Quote Originariamente inviata da Shores Visualizza il messaggio
Per maschera intendo form...
Capito ed hai ragione.

Per il secondo discorso, il consiglio di codencode, se l'ho capito bene, è che ci fosse nel $_POST in arrivo una cosa che viene usata per sapere a quale maschera mi riferisco:

$_SESSION[$_POST["_nomemaschera_"]]["nomecampo"]

Questo io lo vedo come rischioso, perchè significa che potenzialmente un attaccante può inviare in $_POST["_nomemaschera_"] qualcosa che viene direttamente usato come indice di $_SESSION, il che non è una buona idea...
Ricorda però che l'attaccante vede la sua sessione, non quella di un altro utente, quindi al più vedrà dati che riguardano se stesso e non se ne fa molto, già li conosce.