[gl-como] aiuto per sviluppo in php
Pietro Bertera
pietro@bertera.it
Mer 28 Set 2005 12:07:40 CEST
On mer, 2005-09-28 at 11:18 +0200, Riccardo Penco wrote:
> ciao a tutti
>
> forse qualcuno di voi puo' aiutarmi: sto scrivendo pagine in php che
> dovrebbero essere riservate a soli utenti loggati, il codice e' simile
> al seguente:
>
> pagina protetta:
> <?php
> // controllo se l'utente e' loggato
> if (!$_SESSION["logged"]) manda_a_pagina_login();
> ...
> ?>
>
> pagina login.php
> <?php
> ...
> if (username_e_pwd_validi($user, $pwd)) {
> session_start();
> $_SESSION["logged"] = 1;
> session_register("logged");
> }
> ...
> ?>
>
> Ho notato che con firefox (non con IE) viene creato un cookie PHPSESSID
> con un valore casuale (supponiamo XXXXX).
> Ora se apro un'altra finestra del browser (anche IE) e nell'indirizzo
> digito direttamente:
> http://server_ip/pagina_protetta.php?PHPSESSID=XXXXX
> accedo tranquillamente alla pagina protetta _senza_ avere fatto il login.
>
> Mi chiedo: sono io che ho fatto qualche cazzata (probabile) oppure e' un
> comportamento normale?
no, è normale.
tutti i dati di sessione sono identificati tramite PHPSESSID.
HTTP stateless, le sessioni sono un accrocchio per dare una parvenza di
tracciatura dello stato.
--
Pietro Bertera
E-mail: pietro@bertera.it
GPG key fingerprint: 3B3F 2C4B 487C E5E8 080C 03B3 0C9C AB85 E774 31A4
Maggiori informazioni sulla lista
gl-como