Effettivamente avevo pensato a una soluzione come questa, ovvero usare un token, però non la trovo molto efficacie; ti spiego le mie perplessità così mi puoi dire se c'è qualcosa che mi sfugge:
Supponiamo che la mia applicazione generi un form di quato tipo:
codice:
<form action='paginadicontrollo.php' name='' metod='post' >
<input type='hidden' name='token' value='0cc175b9c0f1b6a831c399e269772661' />
<input type='hidden' name='id_riga' value='2' />
<input type='text' name='textutente' value'' />
<input type='submit' mane='modifica' value='Modifica' />
</form>
l'utente potrebbe tranquillamente, prima di cliccare sul tasto modifica, crearsi una pagina in locale come questa:
codice:
<form action='http://www.sito.it/paginadicontrollo.php' name='' metod='post' >
<input type='hidden' name='token' value='0cc175b9c0f1b6a831c399e269772661' />
<input type='hidden' name='id_riga' value='3' />
<input type='text' name='textutente' value'' />
<input type='submit' mane='modifica' value='Modifica' />
</form>
e cliccando su Modifica del 'suo' form, a me arriverebbe il token corretto, per cui lo script eseguirebbe l'operazione sulla riga 3 anzichè sulla 2.
il ragionamento è corretto o c'è qualcosa che mi sta sfuggendo?