Ho realizzato un sito basato su DB che consente di consultare in modo semplice delle tabelle...
Per fare questo spesso sono costretta a passare i campi di ricerca con il metodo GET...
in questo modo l'utente vedrebbe pagine tipo: www.miosito.com/ricerca.php?id=5
e potrebbero cambiarmi il campo id e vedere dati che non dovrebbero....
cosa mi consigliate per evitare questo ?
potrei criptare il campo id? ma poi dovrei decriptarlo!!!
grazie
mille
mmh..potresti inventare un qualcosa, tipo aggiungi una stringa casuale all'id, e nell'altra pagina la rimuovi prima di inserirlo in query..
seno posti 2 variabili, id e bingo, dove bingo non è altro che l'id in md5 e dall'altra parte controlli che l'md5 dell'id postato sia uguale a bingo..magari invece che 'bingo' chiamala b..
queste sono le prime idee che mi vengono in mente..
mha utilizzare un get quando si ha a che fare con dati che l'utente non deve vedere, non è il massimo in sicurezza..
www.inter-rail.it travellers, not tourist
Is cuma cá mhinice a théann tú ar strae; is é is tábhachtaí gurb áil leat do bhealach a aimsiú arís.
ma se invio col get l'id e l'id stesso in MD5
chiunque, conoscendo l'id potrebbe fare la stessa cosa con un altro id...
o sbaglio?
Oppure più semplicemente nella pagina che visualizza le tabelle
mettere dei controlli sulle tabelle che stai per visualizzare escludendo quelle con dati critici.
Andrea
scusa andrea ma non ho capito
intende dire che prima di mandare in stampa la tabella, controlli che sia una tabella che l'utente possa visualizzare..il che è il metodo miglioreOriginariamente inviato da pamy78
scusa andrea ma non ho capito
www.inter-rail.it travellers, not tourist
Is cuma cá mhinice a théann tú ar strae; is é is tábhachtaí gurb áil leat do bhealach a aimsiú arís.
ci avevo pensato...
in effetti è la soluzione migliore
grazie a tutti
Permessi di invio
Rispondi quotando