Ciao a tutti, stavo sviluppando un'area privata dove ad ogni utente viene messo a disposizione un pannello di controllo, con cui cambiare i propri dati e svolgere altre operazioni, ma mi è sorto un dubbio, dato che per il login mi appoggio a variabili di sessione, e dato che queste sono dei cookie, cosa impedisce all'utente di modificare il cookie per accedere ad aree private di altri utenti?
mi spiego meglio:
L'utente compila il form per il login, vengono controlati i dati sul db e se sono giusti vengono create queste variabili:
session("loggato")= true
session("idutente")= 123
(La session("idutente") verrà utilizzata per mostrare il giusto pannello di amministrazione)
A questo punto quando l'utente ha effettuato il login dato che le session sono cookie potrebbe modificare il valore 123 con 321, e quindi vedrà il pannello ed i dati dell'utente 321.
Ora mi chiedo tutte queste pippe mentali (
Se effettivamente è rischiso come posso raggirare il problema?
Ciao
Rispondi quotando
