Accesso area riservata

borgo italia

borgo italia

Super Moderatore
Membro dello Staff
SUPER MOD
MOD
4 Feb 2008
16.046
150
63
PR
www.borgo-italia.it
ciao a tutti
per evitare di poter accedere tramite url alle pagine riservate ho inserito nella pag da cui accedo alle riservate il codice php

PHP: 
<?php
if(!isset($_SESSION)){
session_start ();
}
$_SESSION['verifica01']="mia_parola";
?>

in tutte le pagine riservate

PHP: 
<?php
if(!isset($_SESSION)){
session_start();
}
@$code = $_SESSION['verifica01'];
if($code != "mia_parola" || $code=="" ){
header("Location: http://www.mio_sito.com/index.php");
}
?>
quindi se sulla riga di comando del bw scrivo
www.mio_sito.com/admin/primaRiservata.php
vengo reindirizzato all'index.php e sin qui tutto OK, ma..
se accedo alla pagina primaRiservata.php normalmente, la sessione mi si crea, torno alla index.php e sul bw digito
www.mio_sito.com/admin/primaRiservata.php (o altra riservata), essendosi la sessione creata, riesco ad entrare comunque e accedere a tutte le pagine riservate (compresa quella modifica/aggiungi user o passw)

sto sbagliando qualcosa, come impedire questo trucchetto?
 
Eliox

Eliox

Utente Attivo
25 Feb 2005
4.390
3
0
PHP: 
@$code = $_SESSION['verifica01'];
hai messo l'operatore di silence davanti alla variabile perché se questa non è settata ti da errore?
 
borgo italia

borgo italia

Super Moderatore
Membro dello Staff
SUPER MOD
MOD
4 Feb 2008
16.046
150
63
PR
www.borgo-italia.it
ciao
ho messo @ in modo che se non fosse settata non dia errore.
se entro direttamente con riga di comando non è settata.
$_SESSION['verifica01']; si crea nella pagina index.php dove nel menù c'è il link "admin" alla primaRiservata.php


p.s.
sto lavorando in locale. in remoto è diverso?
 
Eliox

Eliox

Utente Attivo
25 Feb 2005
4.390
3
0
borgo italia ha scritto:
ciao
ho messo @ in modo che se non fosse settata non dia errore.
se entro direttamente con riga di comando non è settata.
$_SESSION['verifica01']; si crea nella pagina index.php dove nel menù c'è il link "admin" alla primaRiservata.php
p.s.
sto lavorando in locale. in remoto è diverso?
Clicca per allargare...

non è una procedura ortodossa, crei una variabile di sessione che potrebbe essere valorizzata arbitrariamente...
 
Eliox

Eliox

Utente Attivo
25 Feb 2005
4.390
3
0
$code deve esistere soltanto se viene valorizzata, soprattutto perché si tratta di una variabile destinata a contenere un valore di sessione. Diversamente la tua applicazione (in via teorica) potrebbe attaccata passando un valore arbitrario alla variabile.
 
borgo italia

borgo italia

Super Moderatore
Membro dello Staff
SUPER MOD
MOD
4 Feb 2008
16.046
150
63
PR
www.borgo-italia.it
ciao
ok, provo a togliere la @.

però il problema rimane in quanto la sessione esiste sino a che non chiudo il bw e quindi posso aggirarla
 
Devi accedere o registrarti per poter rispondere.
Discussioni simili
Autore Titolo Forum Risposte Data
gandalf1959 [PHP] Verifica password per accesso ad area riservata PHP 3
I [PHP] CURL per accesso ad area riservata PHP 6
L Accesso area riservata tramite QR code WordPress 3
A accesso area riservata nn funziona più PHP 1
M Problema con form per accesso area riservata ai soci PHP 2
N Primo accesso area riservata PHP 1
neo996sps PHP + MYSQL: Errore su accesso area riservata PHP 1
B Aumentare livello di sicurezza accesso client area riservata Classic ASP 5
N impedire accesso area riservata a utenti registrati Database 3
I accesso area riservata multilivello PHP 1
M Come verificare accesso ad area http auth basic? PHP 7
Nik Accesso area privata Classic ASP 1
A Creare area accesso/registrazione utenti Classic ASP 0
R È possibile ricevere avvisi di accesso da Google su un solo telefono senza disconnettersi dall'account? Discussioni Varie 0
E Problema accesso a file con app sviluppata con MIT APP INVENTOR 2 Sviluppo app per Android 0
I visualizza stanze chat e accesso stanza PHP 1
Max 1 Accesso a database phpBB 2
F PROBLEMA ACCESSO INSTAGRAM Discussioni Varie 1
A Dare l'accesso ad una pagina solo ad un utente specifico PHP 0
R reindirizzamento accesso facebook Social Media Marketing 2
elpirata Gestire permessi accesso alle pagine PHP 3
A Problemi di accesso da remoto a Ipcam IP Cam e Videosorveglianza 5
R Accesso a Mit APP Inventor2 Sviluppo app per Android 0
A Limitare accesso ad alcune pagine web PHP PHP 2
O Sricam SP 007 accesso con IP rete IP Cam e Videosorveglianza 0
B Problemi accesso Instagram Smartphone e tablet 1
C [PHP] Accesso ad un file specifico solo in base al server assegnato PHP 2
K Accesso videosorveglianza in mano ad altri IP Cam e Videosorveglianza 1
I Recupero accesso pannello di controllo dominio Leggi, Normative e Fisco 2
M [PHP] o [APACHE] - Filtro geo per accesso sito PHP 6
F Come funziona in javascript l'accesso alle variabili dell'array Programmazione 1
E [PHP] Sso unico accesso per più siti PHP 8
J Limitare accesso disco condiviso Server Dedicati e VPS 0
G password accesso dvr IP Cam e Videosorveglianza 0
R [WordPress] Accesso al db e verifica credenziali (password criptata) WordPress 1
G Samsung tab 4 - impostazione e cancellazione codice di accesso Smartphone e tablet 0
W [ASP] Accesso a database Classic ASP 0
F IP CAM con accesso da remoto IP Cam e Videosorveglianza 1
base90 [php] phpMyAdmin nega l'accesso PHP 4
base90 [php] phpMyAdmin nega l'accesso Presentati al Forum 1
M Hosting con accesso SSH Hosting 1
P Gestire accesso ad un file xml pubblico PHP 1
Z accesso lista file directory con browser HTML e CSS 4
T Condizioni multiple in htaccess per accesso a sub folder basato su indirizzo IP Apache 0
F Accesso php PHP 9
A Corrotto accesso DB Programmazione 3
T Controllo sintassi mail per accesso dispositivi Wi-Fi Javascript 1
C accesso proibito error 403 Apache 0
P phpmyadmin e accesso database PHP 3
filomeni Accesso configurazione TP-LINK Reti LAN e Wireless 5

Discussioni simili

Alto Basso