proteggere esecuzione script

**cris_1986** · 11-12-2011, 19:21

ciao a tutti,
ho creato un form di login che manda i dati ad uno script php il quale li processa.
Tutto funziona correttamente tranne per il fatto che se richiamo lo script che processa i dati digitando il suo indirizzo nel browser questo entra in esecuzione.

Io vorrei che tale script venisse richiamato solo ed esclusivamente quando clicco con il mouse sul pulsante "accedi" dal form di login.

è possibile?

**garakkio** · 11-12-2011, 21:50

devi usare le sessioni

**cris_1986** · 12-12-2011, 04:11

le uso gia

**garakkio** · 12-12-2011, 10:07

Se ho capito bene, vuoi che una determinata azione sia eseguita solo quando l'utente esegue il login, ma non successivamente.
Allora ti basta mettere l'esecuzione di questa azione insieme al login, invece di metterlo su uno script a parte.
Oppure, se proprio devi mantenere lo script separato, imposta una variabile di sessione al momento del login, verificala prima dell'esecuzione dello script e poi cancellala alla fine.

**eiyen** · 12-12-2011, 10:17

...ma se usi le sessioni che dati processa lo script se lo richiami direttam.? cmq puoi mettere nel form come action questo script e poi in esso verificare:
- l'esistenza delle variabili del form
- l'url di provenienza (in questo modo processi i dati solo se il referrer è la pag. con il form)

**sir daniel** · 12-12-2011, 13:49

ti basta mettere tutto lo script in un if che controlla che esistano le variabili del form.

**cris_1986** · 12-12-2011, 15:05

forse mi sono spiegato male , riprovo: pagina login.php contiene il form di registrazione
tale pagina manda i dati digitati nel form alla pagina processa.php là quale si occupa loggare l utente .
se io nel browser digito www.sito.com/processa.php viene lanciato lo script. questo ovviamente è sbagliato in quanto tale pagina deve essere accessibile solo se è chiamata da login.php

**garakkio** · 12-12-2011, 15:06

Mi sembra che la mia risposta precedente si adatti perfettamente, anche dopo la tua spiegazione.

**seokey** · 12-12-2011, 15:17

Puoi utilizzare una soluzione del genere:

Codice PHP:


<?php



 session_start(); 

$old_sessionid = session_id();



session_regenerate_id();



$new_sessionid = session_id();

$username = $_SESSION['username'];



if ($username =="") {



header('Location:login.php'); 

}else{



//qui ci metti un altro header se vuoi 

}

 ?>

**eiyen** · 12-12-2011, 15:30

aggiungo:

- verifica del referer (già detto)
- verifica dei parametri "POST"

(processa.php)

Codice PHP:


if (!isset($_POST['invio'])) { ...

e nel form metti un campo <input type="hidden" name="invio" value="..."/> anche se la verifica degli altri campi sarebbe già sufficiente (usando POST come metodo)

Discussione: proteggere esecuzione script

Strumenti discussione

Ricerca discussione

Visualizza

proteggere esecuzione script

Permessi di invio