GET / POST e autenticazione

**i_am_antipop** · 11-05-2005, 09:12

Ho un'area protetta da pwd, l'utente si autentica ed entra nella pagina MENU dove sceglie quale mese visualizzare.

Una volta scelto il mese va ad una pagina REPORT dove è riconosciuto il suo ID e sono visualizzati i suoi dati relativi a quel mese.

Fin qui tutto bene!

Però per tornare indietro alla pagina MENU uso GET ed ho questo codice:

codice:

menu.php?id=<?php echo $IDuser; ?>

Così l'URL sarà: menu.php?id=4

Problema: quando torna su MENU l'utente può cambiare il numero nella barra indirizzo e con refresh visualizzare i dati altrui!!

Avete qualche suggerimento?
Se passo il valore col POST sono + sicuro?

grazie

**ric.cpp** · 11-05-2005, 09:24

usa i cookie... non saranno il massimo della sicurezza ma almeno l'idi lo registri sul client e lo hai sempre disponibile in $_COOKIE

**i_am_antipop** · 11-05-2005, 09:33

ciao grazie, ho appena fatto una prova e funziona in parte!

in pratica quando si autentica inserisco nel cookie il suo ID e nel file:

include/autentication.php

confronto che sia ugule all'ID che passo col GET. Se non è uguale lo butto fuori!

Codice PHP:


$p="";

        

if(isset($_COOKIE["mioCookie"]))

    $p=$_COOKIE["mioCookie_p"];



if($p!=$usr)    

{

    ?>

    <script language=javascript> 

        alert("Utente non autorizzato");

        location.href="../login.php";

    </script>

    <?php

}

Funziona, però se cambio il valore e faccio refresh carica comunque il nominativo dell'altro utente anche se poi col SUBMIT gli impedisce di andare avanti!

ok, questo è bene, però come posso impedire che venga visualizzato anche solo il nome dell'altro?

...probabilemnte devo controllare il cookie prima del submit... ora provo.

**i_am_antipop** · 11-05-2005, 09:36

dunque al primo refresh visualizza l'altro utente, ma al secondo refresh si "accorge" che non è quello corretto e lo butta giustamente fuori!

devo forzare il primo refresh!

**i_am_antipop** · 11-05-2005, 09:41

Errata corrige: se faccio anche un solo refresh lo sbatte fuori!

Invece se cambio il valore e poi premo INVIO allora visualizza erroneamente l'altro utente...

any suggestions?

**ric.cpp** · 11-05-2005, 09:48

quando inserisci un cookie il valore in $_COOKIE sarà disponibile dopo il refresh. per ovviare al problema, fai così:

setcookie('nomevar', 'valore');
$_COOKIE['nomevar'] = 'valore';

adesso puoi fare i controlli senza refresh

if($_COOKIE['nomevar']...

**i_am_antipop** · 11-05-2005, 10:20

[supersaibal]Originariamente inviato da ric.cpp
quando inserisci un cookie il valore in $_COOKIE sarà disponibile dopo il refresh. per ovviare al problema, fai così:

setcookie('nomevar', 'valore');
$_COOKIE['nomevar'] = 'valore';

adesso puoi fare i controlli senza refresh

if($_COOKIE['nomevar']... [/supersaibal]

scusa, non ho capito che differenza c'è con col codice che uso io:

Codice PHP:


setcookie("presenze_p","$utente_id");

**ric.cpp** · 11-05-2005, 10:26

questa riga

$_COOKIE['nomevar'] = 'valore';

**i_am_antipop** · 11-05-2005, 10:35

se la aggiungo non funziona proprio...
...cerco di capire perchè.

Codice PHP:




setcookie('presenze_p', '$utente_id'); 

$_COOKIE['presenze_p'] = '$utente_id';

**i_am_antipop** · 11-05-2005, 10:44

erano le virgolette, con le doppie funziona..

Codice PHP:


        setcookie("presenze_p","$utente_id"); 

        $_COOKIE["presenze_p"] = "$utente_id";

grazie mille!

Discussione: GET / POST e autenticazione

Strumenti discussione

Ricerca discussione

Visualizza

GET / POST e autenticazione

Permessi di invio