Ciao a tutti, volevo farvi alcune domende a proposito di una applicazione che sto realizzando.
1) Se passo tutti i dati alle pagine tramite POST o variabili di sessione, posso tranquillamente svuotare l'array $GET all'inizio di ogni pagina per mettermi al sicuro da attacchi (es.. sql injection e variabili indesiderate) "appesi" all'url?
Ovviamente uno può sempre costruirsi un form "ad hoc" per attaccare ma questo è un altro paio di maniche.
2) Se ad esempio in un form di login faccio sì che i classici campi "user" e "password" possano contenere soltanto caratteri alfanumerici e niente spazi, controllando anche lato server la giusta lunghezza della stringa ricevuta (ad es max 8 caratteri) posso ritenermi abbastanza sicuro contro l'sql injection?
3)In questa applicazione viene creata una sessione quando si collega l'utente, che viene memorizzata nel database assieme allo userid relativo per evitare login multiplo da più pc con lo stesso account, assieme alla sua data-ora di inizio.
Tale sessione si chiude automaticamente alla chiusura del browser, non sono interessato a mantenere il login con cookies.
Come posso registrare l'ora in cui tale sessione temina?
Se un altro utente si collega, potrebbe essergli assegnato un sessionId già presente nel Dbase (ovviamente se tale sessione è scaduta precedentemente), quindi mi risulterebbe che esiste già una sessione con quel'id...
Che ne pensate?
Ciao, Dario
Rispondi quotando
