Ciao a tutti, volevo un consiglio sulla sicurezza della sessione.
Ho letto molto in questi giorni ma ho ancora dei dubbi.
Sicuramente l'argomento è stato trattato e ritrattato (anche se a dire il vero non ho trovato molto in merito in questo forum), comunque visto che si parla di sicurezza penso sia meglio non essere timidi nel chiedere.
Per proteggere le mie pagine sto usando un sistema come segue...
Nella pagina di login.php:
mentre tutte le altre pagine le inizio con:
Volevo chiedere se basta questo e ovviamente l'escape delle stringhe con $mysqli->real_escape_string() o se ci sono degli altri accorgimenti da mettere in campo.
A me sembra un po' pochino solo quello che ho fatto.
Grazie.
Stefano
Ho letto molto in questi giorni ma ho ancora dei dubbi.
Sicuramente l'argomento è stato trattato e ritrattato (anche se a dire il vero non ho trovato molto in merito in questo forum), comunque visto che si parla di sicurezza penso sia meglio non essere timidi nel chiedere.
Per proteggere le mie pagine sto usando un sistema come segue...
Nella pagina di login.php:
PHP:
<?php
session_start();
//..INSERIMENTO DI USER E PASSWORD
//..VERIFICA L'ESISTENZA DELL'UTENTE E RELATIVA PASSWORD
//..SE OK
$_SESSION['_username'] = $username;
$_SESSION['_password'] = $password; (sha1)
$_SESSION['_nome'] = $riga['nome'];
$_SESSION['_cognome'] = $riga['cognome'];
$_SESSION['_tipoutente'] = $riga['tipoutente'];
header('Location: miosito.php');
//..ALTRIMENTI
header('Location: login.php'); //Rimando a questa stessa pagina
?>mentre tutte le altre pagine le inizio con:
PHP:
<?php
session_start();
if (!isset($_SESSION['_password']))
{
header('Location: ../login.php');
}Volevo chiedere se basta questo e ovviamente l'escape delle stringhe con $mysqli->real_escape_string() o se ci sono degli altri accorgimenti da mettere in campo.
A me sembra un po' pochino solo quello che ho fatto.
Grazie.
Stefano
Ultima modifica di un moderatore:
