Creazione form sicuri

Salve a tutti ragazzi, vi sto seguendo silenziosamente perche' al momento ho trovato un testo che illustra chiaramente quello che sarebbe il mio obiettivo, e sto seguendo quello. Ma ho avuto qualche dubbio su un forum che stampero' piu' in basso, e volevo sapere se la mia soluzione fosse fattibile o meno.

Passo a spiegare il concetto, sto creando un CMS per gestire delle barzellette, e ho la possibilita' di modificare anche le caratteristiche degli autori tramite questo form:

<form action="<?php echo $_SERVER['PHP_SELF']; ?>" method="post">
   <label>Nome: <input type="text" name="name" value="<?php echo $name; ?>" /><label><br />
   <label>Email:<input type="text" name="email" value="<?php echo $email;?> /></label><br />
   <input type="hidden" name="id" value="<?php echo $id; ?>" />
   <input type="submit" value="Invia" />
</form>

Ovviamente sopra ho provveduto a inizializzare le variabili che sono andato ad usare. Il mio dubbio risiede nell'uso del campo nascosto:

<input type="hidden" name="id" value="<?php echo $id; ?>" />

Non e' pericoloso che un utente che guarda il codice della pagina possa vedere direttamente il suo id? Sopratutto se nn ho impostato altri livelli di sicurezza!

Ci puo' essere un metodo che mi renda piu' sicura questa transizione?

Come sempre grazie mille per le risposte, e se vi servono altre spiegazioni o pezzi di codice saro' ben lieto di soddisfare le vostre richieste!

inviato 9 anni fa
Pr0v4
X 0 X

Non dovrebbe essere pericoloso, in fondo è il proprio id ed in base a quello poi sono ricavati i vari permessi.

Se ci fai caso ad esempio in qualunque forum vedi l'id di ogni utente, è sufficiente guardare il link per la visualizzazione del profilo: il tuo id su questo forum è 513!

risposto 9 anni fa
LonelyWolf
X 0 X

Recepito il messaggio!

Grazie mille lonely!

risposto 9 anni fa
Pr0v4
X 0 X

Comunque devi contemplare l'eventualità che l'utente modifichi quell'ID, operazione piuttosto banale per un utente smaliziato.

Come si comporta il tuo script se riceve un ID diverso da quello impostato? Può ad esempio un utente modificare in questo modo i dati di un altro utente?

In generale se decidi di mettere nelle mani dell'utente il suo ID allora devi fare in modo di rilevare la modifica di questo ID oppure sai a priori che la manomissione dello stesso non comporterà alcun problema ma magari semplicemente un disservizio.

Per evitare di far propagare l'ID nelle pagine inviate dall'utente puoi usare le sessioni.

 :bye:

risposto 9 anni fa
Gianni Tomasicchio
X 0 X

Si sono a conoscenza dell'esistenza delle sessioni, ma per adesso voglio imparare ad utilizzare un po di php!

Dopo approfondiro' anche questo argomento!

Cmq grazie mille per la dritta!

risposto 9 anni fa
Pr0v4
X 0 X
Effettua l'accesso o registrati per rispondere a questa domanda