Logout

[FxAndrea]

Ciao gente, avevo una perplessità relativa all procedura di logout che ho implementato in uno dei miei lavori

Dunque, supponendo di effettuare un:

Session.abandon()

Tenendo presente che questo oggetto già dovrebbe distruggere le variabili di sessione nel senso:

Session("var") = ""

Mi chiedevo il perchè, e sicuramente qui' io sbaglio qualcosa, la sessione viene effettivamente troncata, ma andando indietro col browser rivedo le pagine che esistevano durante la sessione, poi ovviamente tentando effettuare delle operazioni comunque il logout effettuato impedisce questo, nel mio caso ripotandomi:

response.redirect "ecc.asp"

Preciso che dopo l'oggetto abandon() della della session, chiudo il recordset e la connessione e poi faccio il redirect.

Come si fà per eliminare tutte le pagine processate prima del logout impedendo il ritorno indietro col browser?

So che è sicuramente una cosa molto semplice, ma se possibile un aiuto è ben accetto.

Aggiungo un'altra cosa, un altro dubbio che ho:

Una volta entrato nella sessione, e fatti i dovuti controlli su ogni pagina, per lavorare con le variabili utilizzo spesso i response.write e passo le varibili alle funzioni nel modo:

"ecc.asp?var="

Puo' esserci qualche probelma con questa impostazione?

Ho notato che molti usano i campi hidden mentre altri:

var=<%=var%>

Io credo che comunque essendo nella sessione protetta non ci dovrebbero essere problemi, ma comunque sono ben accetti consigli.

Ciao!

[Roby_72]

Il browser recupera dalla cache le pagine fermo restando che come dici tu altre operazioni non sono possibili perché la sessione non esiste più.
Ad ogni modo all'inizio delle pagine metti questo:

codice:

<%
'***** Evito la memorizzazione in cache/proxy della
'pagina e cancello le sessioni del pannello riservato
response.expires = -1500 
response.AddHeader "PRAGMA", "NO-CACHE"
response.CacheControl = "PRIVATE"
%>

I parametri in querystring non creano problemi. Il punto è che tipo di info sono e cosa succede se l'utente li modifica a mano....

Roby

[FxAndrea]

Intanto grazie mille per la risposta, a dirla tutta mi era passata per testa una cosa del genere ma non credevo fosse giusto operare in quel modo, però ora mi hai chiarito la cosa
Inteso per il discorso delle varibili, grazie, quindi mi consigli per valori sensibili un bel input type hidden.

Ciao e grazie ancora!

[Roby_72]

Se nella sessione passi un identificativo dell'utente, non hai bisogno di passare né in form né in querystring dati sensibili, potendoli comunque recuperare dalla sessione.

Roby

[FxAndrea]

giusto anche questo, quindi per i dati sensibili e meglio usare le session("var"), ok grazie di nuovo.

Già che ci sono volevo chiederti un'ultima cosa:

Secondo te e una procedura sicura dare la possibilità all'utente di cancellarsi dal database tramite un form?
Tieni presente che la pagina altro non farebbe che una verifica u,p e eventualmente una cancellazione.

Che ne pensi?

Ciao!

[Roby_72]

Beh se la user è unica... direi di si.

Roby

[FxAndrea]

bhè si, sia user che pass sarebbero uniche grazie ad un controllo sul db prima della registrazione che vorrei implementare sempre in asp.

Grazie mille comunque, hai fugato i dubbi che avevo, ciao