Ho un sistema di area personale che si basa anche sull'uso delle variabili di sessioni per il ruolo dell'utente...
amministratore o user.
In locale nessun problema, sull'hosting quando vado in alcune sezioni, tipo modifica utente mi scambia le variabili di sessione tra utente corrente e quello che sto modificando, facendomi un gran macello.....
Avete idea di che errori posso aver fatto?
Le variabili non hanno lo stesso nome, non capisco perché le scambi..
non credo di aver capito bene...cioè, assegna all'admin le variabili di sessione dell'utente?
se voglio modificare un utente la variabile $_SESSION['username'] in quel momento administrator diventa user che è il valore di $_SESSION[username_mod] così perdo i permessi e non posso fare l'operazione.
Usare le variabili di sessione non è il modo giusto?
logicamente no...ogni sessione è propria del browser, un utente non può modificarle...altrimenti sai che pasticci? non ci sarebbe più un sito sicuro!
utilizza il database, modifichi tutto quanto e lo metti in db, e all'utente ogni tanto gli fai fare un controllo e un successivo refresh delle sessioni...oppure semplicemente lo fai disconnettere e riconnettere, aggiornando così le sessioni al login
Il problema è proprio che prndo il valore del tipo di utente che è dal DB usando il valore della variabile $_SESSION['username'], ma ogni tanto il valore di questa variabile cambia e quindi mi preleva il ruolo di un altro utente.
Adesso provo a capire se ho fatto casino con i nomi, ma in locale funziona....
ti faccio una domanda, faccio bene a usare questo sistema per dare differenze di permessi o è meglio un'altra soluzione?
Sembra che abbia trovato il problema.
Alcune variabili normali, non di sessione si incasinano perché i nomi sono uguali, anche se non hanno molto in comune....
Mistero, visto che in locale il problema non c'era....
Comunque almeno sembra che abbia risolto
il register_globals è settato (SBAGLIANDO) a ON
sei su aruba?
www.gext.it
No.
Che vuol dire che è ON?
Che problemi da?
praticamente se la direttiva è ON il php "trasforma" le variabili globali in variabili normali
quindi $_SESSION['user'] è accessibile anche con $user
o $_POST['name'] con $name
è una delle famose falle di sicurezza del php...
leggiti qua
http://it.php.net/register_globals
www.gext.it
Quindi è un grosso pacco....
Se per sbaglio do il nome ad una variabile uguale a quella di sessione me la cambia?
Bella fregata.
Cosa faccio, devo fare rimostranze al mio hosting?
Permessi di invio
Rispondi quotando