Da un pannello di controllo l'admin crea delle utenze (con tanto di user e password). Per ogni utenza deve creare anche una pagina ed alcuni files che saranno dedicati al singolo utente ed avrebbero pertanto necessità di essere a loro volta protetti.
All'inizio avevo fatto tutto con .htaccess (creavo la coppia htaccess/htpasswd all'interno della cartella contestualmente alla creazione di un user) e funzionava ma su vostro suggerimento sono passato alle sessioni (anche se attraverso un tutorial).
ora:
1) la pagina (o le pagine) degli utenti mi servono appena vengono creati gli utenti stessi: faccio leggere la un file di testo e poi salvo nella catella? (Il file di testo conterrà ovviamente le variabili per differenziare gli user)
2) come proteggo anche i files da visualizzazione e download rendendoli accessibili solo a chi è loggato?
domande di riserva:
Cambia qualcosa in termini di sicurezza se le variabili (che passo con POST ad una pagina che mostra un riepilogo e chiede conferma dei dati prima di immetterli nel database) hanno un nome molto intuibile (come appunto $user o $password). E per i nomi dei campi nel database?
E' più sicura una conferma chiesta tipo con alert in javascript o posso pascolare un po' i dati portandoli fino alla pagina che richiede la conferma (nella quale vorrei lasciare ancora la password in chiaro per poter fare stampare all'user i suoi dati)?