querysting alterata

[Yuppies]

Buongiorno, sono qui per chiedere il vostro aiuto.

Mi trovo a dover realizzare un'area riservata a cui faranno accesso degli utenti tramite una login e password riservate.

Una volta effettuato l'accesso, l'utente si troverà dinanzi ad un menu con dei link che passano dei valori tramite URL.
Tra i vari valori, nell'url sarà indicato anche il nome del relativo database.

Il mio dubbio è questo:
qualora un utente smalizziato, facesse accesso con la propria password e login e poi passasse come valore della stinga url il nome di un db diverso, riuscirebbe ad accedere ai dati relativi ad un altro cliente.

Qualcuno sa indirizzarmi come fare per ovviare a questo problema?

Io avrei pensato alla possibilità di criptare la stringa passata in query ma purtroppo non so proprio come fare.

Grazie

[kalosjo]

Invece di passare il nome del db in querystring, passa un numero.

Ad ogni numero fai corrispondere un db.

Ma non li mettere in ordine successivo, tipo 1, 2, 3 ma sparso, tipo 1, 21, 43....

Altrimenti cambiano numero e lo trovano subito

[Yuppies]

in effetti già funziona nella maniera che mi suggerisci ossia:

l'amministratore crea un utente che avrà un suo numero progressivo ID.

è proprio da questo ID che nascono le tabelle all'interno del DB.

il database di chiama 'database.mdb' ed al suo interno ci saranno le tabelle 1 relativa all'utente 1, la tabella 2 relativa all'utente 2 e così via.

sull'url viene quindi passato un numero basterebbe sostituire quello per accedere ai dati relativi ad un altro utente

o mi sbaglio nel raggionamento?

[kalosjo]

Si, per come è stato progettato viene meno la sicurezza dei dati.

Se metto un altro numero apro un altro db

[Yuppies]

qualcuno saprebbe suggerirmi dove trovare una funzione/algoritmo che cripta i dati?

passo il valore in una funzione che cripta e poi quando lo ricevo in una seconda pagina lo passo nuovamente in una funzione che decripta il dato (magari in formato hex o tipo rc4)
VVoVe: