problema richiamo variabili POST

[thenax]

in una pagina A ho questo codice:

codice:

<?php
// *** Validate request to login to this site.
if (!isset($_SESSION)) {
  session_start();
}

$loginFormAction = $_SERVER['PHP_SELF'];
if (isset($_GET['accesscheck'])) {
  $_SESSION['PrevUrl'] = $_GET['accesscheck'];
}

if (isset($_POST['username'])) {
  $loginUsername=$_POST['username'];
  $password=$_POST['password'];
  $MM_fldUserAuthorization = "";
  $MM_redirectLoginSuccess = "amministrazione/index.php";
  $MM_redirectLoginFailed = "index.php";
  $MM_redirecttoReferrer = false;
  mysql_select_db($database_server, $server);
  
  $LoginRS__query=sprintf("SELECT username, password FROM cai_utenti WHERE username=%s AND password=%s",
    GetSQLValueString($loginUsername, "text"), GetSQLValueString($password, "text")); 
   
  $LoginRS = mysql_query($LoginRS__query, $server) or die(mysql_error());
  $loginFoundUser = mysql_num_rows($LoginRS);
  if ($loginFoundUser) {
     $loginStrGroup = "";
    
	if (PHP_VERSION >= 5.1) {session_regenerate_id(true);} else {session_regenerate_id();}
    //declare two session variables and assign them
    $_SESSION['MM_Username'] = $loginUsername;
    $_SESSION['MM_UserGroup'] = $loginStrGroup;	      

    if (isset($_SESSION['PrevUrl']) && false) {
      $MM_redirectLoginSuccess = $_SESSION['PrevUrl'];	
    }
    header("Location: " . $MM_redirectLoginSuccess );
  }
  else {
    header("Location: ". $MM_redirectLoginFailed );
  }
}
?>

con questo form:

codice:

<form action="<?php echo $loginFormAction; ?>" method="POST" name="login" id="login"></p>
          <table width="214" border="0" cellspacing="0" cellpadding="3">
        <tr>
          <td width="51"> username</td>
          <td width="137"><input type="text" name="username" id="username" /></td>
        </tr>
        <tr>
          <td></td>
          <td></td>
        </tr>
        <tr>
          <td>password</td>
          <td><input type="password" name="password" id="password" /></td>
        </tr>
        <tr>
          <td></td>
          <td></td>
        </tr><tr>
          <td></td>
          <td><input type="submit" name="submit" id="submit" value="invia" /></td>
        </tr>
      </table>
</form>

una volta inseriti i giusti parametri arrivo alla pagina B con questo codice che verifica il corretto login:

codice:

<?php
if (!isset($_SESSION)) {
  session_start();
}
$MM_authorizedUsers = "admin";
$MM_donotCheckaccess = "true";

// *** Restrict Access To Page: Grant or deny access to this page
function isAuthorized($strUsers, $strGroups, $UserName, $UserGroup) { 
  // For security, start by assuming the visitor is NOT authorized. 
  $isValid = False; 

  // When a visitor has logged into this site, the Session variable MM_Username set equal to their username. 
  // Therefore, we know that a user is NOT logged in if that Session variable is blank. 
  if (!empty($UserName)) { 
    // Besides being logged in, you may restrict access to only certain users based on an ID established when they login. 
    // Parse the strings into arrays. 
    $arrUsers = Explode(",", $strUsers); 
    $arrGroups = Explode(",", $strGroups); 
    if (in_array($UserName, $arrUsers)) { 
      $isValid = true; 
    } 
    // Or, you may restrict access to only certain users based on their username. 
    if (in_array($UserGroup, $arrGroups)) { 
      $isValid = true; 
    } 
    if (($strUsers == "") && true) { 
      $isValid = true; 
    } 
  } 
  return $isValid; 
}

$MM_restrictGoTo = "../index.php";
if (!((isset($_SESSION['MM_Username'])) && (isAuthorized("",$MM_authorizedUsers, $_SESSION['MM_Username'], $_SESSION['MM_UserGroup'])))) {   
  $MM_qsChar = "?";
  $MM_referrer = $_SERVER['PHP_SELF'];
  if (strpos($MM_restrictGoTo, "?")) $MM_qsChar = "&";
  if (isset($_SERVER['QUERY_STRING']) && strlen($_SERVER['QUERY_STRING']) > 0) 
  $MM_referrer .= "?" . $_SERVER['QUERY_STRING'];
  $MM_restrictGoTo = $MM_restrictGoTo. $MM_qsChar . "accesscheck=" . urlencode($MM_referrer);
  header("Location: ". $MM_restrictGoTo); 
  exit;
}
?>

e dove c'è anche questo form

codice:

<form action="../news/gestione.php" method=post target="_blank">
 <input name=username type=text value=<?php echo $_POST['username']; ?> >
 
<input type=password name=password value=<?php echo $_POST['password']; ?> >

<input type=hidden name=action value=dologin>
<input type=submit value='Login'>
</form>

la mia domanda è: come faccio a fare in maniera tale che dentro quest'ultimo form username e password compaiana già compilati con la stessa username e password che avevo utilizzato bel primo form della pagina A, senza necessità di doverli reinserire?

[MicheleWT]

la stampa del'attributo value del form con il valore è corretto (occhio a XSS).

fai un print_r($_POST) per vedere cosa passi

[thenax]

??? non passa niente! il print dà questo: Array ( ) !!

che significa occhio al xss??

[MicheleWT]

allora il problema e' che non arrivano i valori dal form.

Scusa, ora non ho molto tempo.

Cerca xss su google, uno script cosi' fatto e' poco sicuro

[thenax]

Originariamente inviato da MicheleWT
allora il problema e' che non arrivano i valori dal form.

Scusa, ora non ho molto tempo.

Cerca xss su google, uno script cosi' fatto e' poco sicuro

ok capito ora gli xss...

che non arrivassero i valori dal form lo avevo capito anche prima....ma non capisco il motivo!