[gl-como] aiuto per sviluppo in php

Pietro Bertera pietro@bertera.it
Mer 28 Set 2005 12:07:40 CEST


On mer, 2005-09-28 at 11:18 +0200, Riccardo Penco wrote:
> ciao a tutti
> 
> forse qualcuno di voi puo' aiutarmi: sto scrivendo pagine in php che 
> dovrebbero essere riservate a soli utenti loggati, il codice e' simile 
> al seguente:
> 
> pagina protetta:
> <?php
> // controllo se l'utente e' loggato
> if (!$_SESSION["logged"]) manda_a_pagina_login();
> ...
> ?>
> 
> pagina login.php
> <?php
> ...
> if (username_e_pwd_validi($user, $pwd)) {
>    session_start();
>    $_SESSION["logged"] = 1;
>    session_register("logged");
> }
> ...
> ?>
> 
> Ho notato che con firefox (non con IE) viene creato un cookie PHPSESSID 
> con un valore casuale (supponiamo XXXXX).
> Ora se apro un'altra finestra del browser (anche IE) e nell'indirizzo 
> digito direttamente:
> http://server_ip/pagina_protetta.php?PHPSESSID=XXXXX
> accedo tranquillamente alla pagina protetta _senza_ avere fatto il login.
> 
> Mi chiedo: sono io che ho fatto qualche cazzata (probabile) oppure e' un 
> comportamento normale?

no,  normale.
tutti i dati di sessione sono identificati tramite PHPSESSID.
HTTP stateless, le sessioni sono un accrocchio per dare una parvenza di
tracciatura dello stato.


-- 
Pietro Bertera 
E-mail: pietro@bertera.it
GPG key fingerprint: 3B3F 2C4B 487C E5E8 080C  03B3 0C9C AB85 E774 31A4





Maggiori informazioni sulla lista gl-como