.dsy:it. Pages (2): « 1 [2]
Show 150 posts per page

.dsy:it. (http://www.dsy.it/forum/)
- Tech (http://www.dsy.it/forum/forumdisplay.php?forumid=189)
-- [PHP] Undefinied variable (http://www.dsy.it/forum/showthread.php?threadid=14520)

Posted by Flyzone on 13-11-2004 10:58:

Originally posted by fabpicca
se metti in ogni pagina session_start() , come del resto suppongo tu stia facendo

Esatto, tralasciando la sintassi php è più o meno così:

session_start();
se $_SESSION['username']="" -->Ti devi loggare
altrimenti {
do query_sql = SELECT * FROM users WHERE username = $_SESSION['username'] AND user_level='livello root';
se (query_sql > 0_risultati) allora --> codice x pagina "root"
altrimenti --> codice x pagina "utenti normali"
}
al logout: session_destroy();

Così in ogni pagina. Può andare come logica?

Posted by fabpicca on 13-11-2004 12:28:

Originally posted by Flyzone
Esatto, tralasciando la sintassi php è più o meno così:

session_start();
se $_SESSION['username']="" -->Ti devi loggare
altrimenti {
do query_sql = SELECT * FROM users WHERE username = $_SESSION['username'] AND user_level='livello root';
se (query_sql > 0_risultati) allora --> codice x pagina "root"
altrimenti --> codice x pagina "utenti normali"
}
al logout: session_destroy();

Così in ogni pagina. Può andare come logica?


ad alto livello direi di si!

__________________
my website?|ubuntu linux|get Firefox|grazie Polonia |bagdad sour

"Come va che non ha le corna e le zampe di Caprone?" gli opposi. "Oh, Giuvà", mi disse il prete "adesso non si usa più.Satana è furbo". (I.Silone, Fontamara)
"Al giorno d'oggi non bisogna essere intelligenti, perchè la gente si offende" (un ubriacone)
"close your eyes / pay the price / for your paradise" (DM) "whatever you want to change/you'd better start changing it in your mind" (Transatlantic)

Posted by korn on 13-11-2004 13:30:

Originally posted by Flyzone
Non uso i cookies, e non c'è nemmeno il passaggio di parametri negli url (che, se non sbaglio, va un pò contro la sicurezza e deve utilizzare variabili globali no?), eppure il tutto funziona indi presumo che le sessioni stiano in memoria visto che richiamo i dati da $_SESSION e visto che appena chiudo il browser e lo riapro la sessione è morta.


Sbagliato :)

Tu CREDI di non usare i cookies, in realtà il server scrive l'ID della sessione in un cookie sul client, ed è attraverso tale cookie che, cambiando pagina, lo riconosce e gli riassegna le proprie variabili $_SESSION.

Nel momento in cui chiudi il browser quel cookie muore, quando lo riapri il server crea un'altra istanza con un ID diverso.

ALTERNATIVAMENTE PHP può passare l'ID negli URL.

__________________
» Collect some stars to shine for you, and start today ‘cause there are only a few. _ (In Flames)
» Don't stop for nothing, it's full speed or nothing! I'm taking down, you know, whatever is in my way! _ ('tallica)
» I am my own god, I do as I please. _ (Pain)
» Ninetynine, ninetynine knives! Ninetynine knives inside! Nobody gets out alive! _ (The Haunted)
Web: http://www.negativesignal.com - ICQ# 171585477 - Death to software patents! And TCPA too! "e uno!", diceva il boia.

Posted by korn on 13-11-2004 13:38:

Riporto informazioni utili da www.php.net [ http://it.php.net/manual/en/ref.session.php ]



A visitor accessing your web site is assigned an unique id, the so-called session id. This is either stored in a cookie on the user side or is propagated in the URL.


Ma questo l'avevo già detto........ l'importante è ciò che segue


The session module cannot guarantee that the information you store in a session is only viewed by the user who created the session. You need to take additional measures to actively protect the integrity of the session, depending on the value associated with it.


Come dicevi tu Fly, effettivamente qualcuno può editare il cookie e fare un session hijacking, solo che le possibilità che questo avvenga sono veramente molto risicate, poiché

- dovrebbe cogliere il momento esatto in cui un admin ha una sessione aperta
- dovrebbe in qualche modo recuperare il suo Session ID..... sgamare uno username è molto facile, un numero casuale un po' meno

That's all, folks :)

__________________
» Collect some stars to shine for you, and start today ‘cause there are only a few. _ (In Flames)
» Don't stop for nothing, it's full speed or nothing! I'm taking down, you know, whatever is in my way! _ ('tallica)
» I am my own god, I do as I please. _ (Pain)
» Ninetynine, ninetynine knives! Ninetynine knives inside! Nobody gets out alive! _ (The Haunted)
Web: http://www.negativesignal.com - ICQ# 171585477 - Death to software patents! And TCPA too! "e uno!", diceva il boia.

Posted by Flyzone on 13-11-2004 15:07:

Originally posted by korn
Tu CREDI di non usare i cookies, in realtà il server scrive l'ID della sessione in un cookie sul client, ed è attraverso tale cookie che, cambiando pagina, lo riconosce e gli riassegna le proprie variabili $_SESSION.

Ok, abbiamo trovato il punto che mi crea confusione :asd:
Tu dici che salva in un cookie sul CLIENT.
Allora mi spieghi perchè non trovo un dannato cookie?
Mi spiego: ho cancellato i cookies e cache dal client, mi sono loggato, ritorno nella cartella cookies e non trovo nulla.
Da qui a pensare che siano in memoria il passo è breve...o forse è perchè server e client stanno sulla stessa macchina (la mia)? :pensa:

Posted by unidavide on 13-11-2004 16:21:

Originally posted by Flyzone
Da qui a pensare che siano in memoria il passo è breve

esatto, il browser lo tiene in memoria
All times are GMT. The time now is 22:06. Pages (2): « 1 [2]
Show all 21 posts from this thread on one page

Powered by: vBulletin Version 2.3.1
Copyright © Jelsoft Enterprises Limited 2000 - 2002.