ciao, premetto che sto avvicinandomi a php da pochi giorni.
stavo imparando ad usare i cookie e mi sono sorti alcuni dubbi sulla sicurezza.
Per accedere all'area riservata del mio sito uso i cookie e memorizzo come contenuto l'id dell'utente.
in base a questo id l'utente avrà un determinato permesso di accesso e visibilità delle pagine riservate.
mi chiedevo se c'e' la possibilità in locale di modificare il suo valore. io ci ho provato con firefox e anche con IE ma non ci sono riuscito.
Ad ogni modo, teoricamente, anche se non ho idea di come si possa fare, un esperto potrebbe creare una richesta dove va ad inserire nell'header direttamente il cookie con il valore desiderato. giusto?
a questo punto mi viene da dire che memorizzare un dato importante in chiaro e' potenzialmente rischioso.
l'unica possibilità, e anche la più semplice e utilizzata, e' per caso criptare il valore del cookie?
quali sono le istruzioni più efficaci per farlo in php?
sto dicendo delle castronerie oppure ci sono altri modi per rendere sicura un'area riservata?
altra domanda:
io setto il cookie in questo modo:
setcookie ("nome","valore",time()+3600)
ho visto che per cancellarlo dopo il logout c'e' differenza tra queste due istruzioni:
setcookie("nome")
setcookie("nome","")
La prima mi lascia il cookie ma annulla il valore la seconda mi cancella il cookie. e' normale oppure dipende dal browser? avevo letto che anche la prima avrebbe dovuto cancellarlo.
grazie a tutti. ciao
Rispondi quotando
