[PHP] Sicurezza nella trasmissione delle variabili di sessione?

[niubbo]

Sto programmando degli script x gestire account... ho optato ke una volta ke è stata verificata la login una variabile di sessione "access" diventa true... se è aperta una sessione e la variabile "acceess" è settata così il controllo della login nn viene + fatto dando libero accesso ad altri script... mi kiedevo xò quanto è sicuro in questo modo... se qualcuno riesce a far intendere al browser ke c'è una sessione aperta e ke access = true potrebbe entrare ovunque... è possibile fare un hack d questo tipo?

Grazie

[bubu77]

se non ci sono bachi nel login non puoi creare una sessione dal niente se non hai accesso alla macchina, anche se devi stare attento ad una cosa oltre al controllo che fai dovresti controllare l'ip del visitatore che si è loggato e se ci sono varie sezioni con diversi poteri utilizzare una variabile diversa oppure un sistema di permessi.

ti dicevo di controllare gli ip perché se hai il trans-sid su on (quasi su tutti i server) c'è il rischio che l'utente invii un link per email contenente l'id di sessione, questo provoca che se l'altro utente entra prima che scada la sessione si logga automaticamente.

ciao

[niubbo]

Nn ho ben capito cosa centri l'email... xò mi pare di aver intuito ke è possibole ke qualcuno prenda la sessione d un altro con tutto il suo contenuto?

Grazie