Originariamente inviato da Baoh
($_COOKIE, $_SESSION se parliamo di sicurezza) quando si vuole essere sicuri che da quel serbatoio provengano
Non penso che con il normale http tu possa essere sicuro al 100% della provenienza dei dati.. Se vuoi proprio essere sicuro allora bisognerebbe usare https con la firma digitale.. allora si che saremmo quasi sicuri..

Originariamente inviato da piero.mac
Presto risolto ... non mettere i dati user e pwd nella variabile di sessione. Oltretutto servono al classico belino a vela.
Non è così facile piero.. Non è questione di user e password.. la questione è questa. se il sistema lo basi sulle sessioni, al momento del log di un'utente memorizzi qualcosa tipo l'userid in una variabile di sessione e poi sulle altre pagine ti basi su quella variabile e basta.. ma se uno prende si logga e sostituisce nelle variabili di sessione il suo id con quello magari dell'amministratore è un problema..
Io nel mio memorizzo l'id nelle sessioni e l'ip sul database al corrispondente id.. Un po' meglio ma anche questo non è un gran chè.

Lo so ora qui stiamo andando verso la paranoia però c'è sempre questa possibilità.. Effettivamente il database sarebbe la meglio cosa ma è cmq più difficile da gestire che non utilizzare direttamente le sessioni di apache..

ciao ciao