Ciao a tutti
mi servirebbe un consiglio per mettere in sicurezza un sito in php.
Ho una pagina del tipo
modificaprofilo?id_utente=21
come faccio a non far vedere id_utente=21
Altri consigli per la sicurezza sono ben accetti!
Grazie a tutti!
Ciao a tutti
mi servirebbe un consiglio per mettere in sicurezza un sito in php.
Ho una pagina del tipo
modificaprofilo?id_utente=21
come faccio a non far vedere id_utente=21
Altri consigli per la sicurezza sono ben accetti!
Grazie a tutti!
Dipende da come carichi la pagina di destinazione. Se hai un form allora puoi passare il parametro in POST piuttosto che in GET oppure puoi inserire l'ID in sessione e recuperarlo nella pagina in cui ne hai bisogno.
"Mai discutere con un idiota. Ti trascina al suo livello e ti batte con l'esperienza." (Oscar Wilde)
Non sussiste in principio nessuna falla di sicurezza nella visualizzazione della query string nell'URL.
Tuttavia una pagina chiamata "modificaprofilo.php" mi lascia intuire che la mancata sicurezza (direi assenza...) sta nel fatto che quella pagina deve essere accessibile solo all'utente con quel determinato id.
In questo caso la miglior cosa da fare è di mettere in sessione l'id dell'utente loggato (al momento del login) e poi nella pagina modificaprofilo.php avrai:
Codice PHP:<?php
session_start();
if(!isset($_SESSION['id_user'])){
exit('possono accedere a questa pagina solo gli utenti loggati');
}
$id = $_SESSION['id_user']; // quindi l'id lo prendi dalla sessione e non via get
// ... etc etc
http://www.miniscript.it
Se ti sono stato di aiuto in qualche modo in questo forum iscriviti alla fan page di Miniscript - il mio blog di programmazione web.
Grazie per le risposte.
Quindi uso una variabile di sessione visto che non ho un form per passare l'id in POST.
Grazie ancora adesso cerco di convertire il lavoro!
Permessi di invio
Rispondi quotando