Accesso area riservata

borgo italia

Super Moderatore
Membro dello Staff
SUPER MOD
MOD
4 Feb 2008
16.042
147
63
PR
www.borgo-italia.it
ciao a tutti
per evitare di poter accedere tramite url alle pagine riservate ho inserito nella pag da cui accedo alle riservate il codice php

PHP:
<?php
if(!isset($_SESSION)){
session_start ();
}
$_SESSION['verifica01']="mia_parola";
?>

in tutte le pagine riservate

PHP:
<?php
if(!isset($_SESSION)){
session_start();
}
@$code = $_SESSION['verifica01'];
if($code != "mia_parola" || $code=="" ){
header("Location: http://www.mio_sito.com/index.php");
}
?>
quindi se sulla riga di comando del bw scrivo
www.mio_sito.com/admin/primaRiservata.php
vengo reindirizzato all'index.php e sin qui tutto OK, ma..
se accedo alla pagina primaRiservata.php normalmente, la sessione mi si crea, torno alla index.php e sul bw digito
www.mio_sito.com/admin/primaRiservata.php (o altra riservata), essendosi la sessione creata, riesco ad entrare comunque e accedere a tutte le pagine riservate (compresa quella modifica/aggiungi user o passw)

sto sbagliando qualcosa, come impedire questo trucchetto?
 

Eliox

Utente Attivo
25 Feb 2005
4.390
3
0
PHP:
@$code = $_SESSION['verifica01'];
hai messo l'operatore di silence davanti alla variabile perché se questa non è settata ti da errore?
 

borgo italia

Super Moderatore
Membro dello Staff
SUPER MOD
MOD
4 Feb 2008
16.042
147
63
PR
www.borgo-italia.it
ciao
ho messo @ in modo che se non fosse settata non dia errore.
se entro direttamente con riga di comando non è settata.
$_SESSION['verifica01']; si crea nella pagina index.php dove nel menù c'è il link "admin" alla primaRiservata.php


p.s.
sto lavorando in locale. in remoto è diverso?
 

Eliox

Utente Attivo
25 Feb 2005
4.390
3
0
ciao
ho messo @ in modo che se non fosse settata non dia errore.
se entro direttamente con riga di comando non è settata.
$_SESSION['verifica01']; si crea nella pagina index.php dove nel menù c'è il link "admin" alla primaRiservata.php
p.s.
sto lavorando in locale. in remoto è diverso?

non è una procedura ortodossa, crei una variabile di sessione che potrebbe essere valorizzata arbitrariamente...
 

Eliox

Utente Attivo
25 Feb 2005
4.390
3
0
$code deve esistere soltanto se viene valorizzata, soprattutto perché si tratta di una variabile destinata a contenere un valore di sessione. Diversamente la tua applicazione (in via teorica) potrebbe attaccata passando un valore arbitrario alla variabile.
 

borgo italia

Super Moderatore
Membro dello Staff
SUPER MOD
MOD
4 Feb 2008
16.042
147
63
PR
www.borgo-italia.it
ciao
ok, provo a togliere la @.

però il problema rimane in quanto la sessione esiste sino a che non chiudo il bw e quindi posso aggirarla
 
Discussioni simili
Autore Titolo Forum Risposte Data
gandalf1959 [PHP] Verifica password per accesso ad area riservata PHP 3
I [PHP] CURL per accesso ad area riservata PHP 6
L Accesso area riservata tramite QR code WordPress 3
A accesso area riservata nn funziona più PHP 1
M Problema con form per accesso area riservata ai soci PHP 2
N Primo accesso area riservata PHP 1
neo996sps PHP + MYSQL: Errore su accesso area riservata PHP 1
B Aumentare livello di sicurezza accesso client area riservata Classic ASP 5
N impedire accesso area riservata a utenti registrati Database 3
I accesso area riservata multilivello PHP 1
M Come verificare accesso ad area http auth basic? PHP 7
Nik Accesso area privata Classic ASP 1
A Creare area accesso/registrazione utenti Classic ASP 0
F PROBLEMA ACCESSO INSTAGRAM Discussioni Varie 2
A Dare l'accesso ad una pagina solo ad un utente specifico PHP 0
R reindirizzamento accesso facebook Facebook 1
elpirata Gestire permessi accesso alle pagine PHP 3
A Problemi di accesso da remoto a Ipcam IP Cam e Videosorveglianza 3
R Accesso a Mit APP Inventor2 Sviluppo app per Android 0
A Limitare accesso ad alcune pagine web PHP PHP 2
O Sricam SP 007 accesso con IP rete IP Cam e Videosorveglianza 0
B Problemi accesso Instagram Smartphone e tablet 1
C [PHP] Accesso ad un file specifico solo in base al server assegnato PHP 2
K Accesso videosorveglianza in mano ad altri IP Cam e Videosorveglianza 1
I Recupero accesso pannello di controllo dominio Leggi, Normative e Fisco 2
M [PHP] o [APACHE] - Filtro geo per accesso sito PHP 6
F Come funziona in javascript l'accesso alle variabili dell'array Programmazione 1
E [PHP] Sso unico accesso per più siti PHP 8
J Limitare accesso disco condiviso Server Dedicati e VPS 0
G password accesso dvr IP Cam e Videosorveglianza 0
R [WordPress] Accesso al db e verifica credenziali (password criptata) WordPress 1
G Samsung tab 4 - impostazione e cancellazione codice di accesso Smartphone e tablet 0
W [ASP] Accesso a database Classic ASP 0
F IP CAM con accesso da remoto IP Cam e Videosorveglianza 1
base90 [php] phpMyAdmin nega l'accesso PHP 4
base90 [php] phpMyAdmin nega l'accesso Presentati al Forum 1
M Hosting con accesso SSH Hosting 1
P Gestire accesso ad un file xml pubblico PHP 1
Z accesso lista file directory con browser HTML e CSS 4
T Condizioni multiple in htaccess per accesso a sub folder basato su indirizzo IP Apache 0
F Accesso php PHP 9
A Corrotto accesso DB Programmazione 3
T Controllo sintassi mail per accesso dispositivi Wi-Fi Javascript 1
C accesso proibito error 403 Apache 0
P phpmyadmin e accesso database PHP 3
filomeni Accesso configurazione TP-LINK Reti LAN e Wireless 5
otto9due Accesso agli elementi <![CDATA[ ... ]]> di un file XML con SimpleXML e PHP PHP 2
L Transazione per accesso concorrente a una tabella MySQL 1
otto9due limitare l'accesso a cartelle e file a tutti tranne che ad alcuni domini.. PHP 1
R Accesso Multiutente a file in lettura/scrittura PHP 5

Discussioni simili