[PHP] impedire la navigazione tra i record tramite la modifica manuale del campo url

**zulukwebsite** · 13-06-2008, 12.11.35

il problema sorge da una piccola messaggeria che ho fatto ispirandomi a una che già conoscevo.... in pratica quando ricevo un mess da un utente viene creato un archivio...la lettura (o la cancellazione) del mess avviene tramite passaggio del campo id (nel db) del messaggio..quindi una cosa del genere ----> leggi_mess.php?id=12..... il problema ovviamente è che se io smanetto sull'url posso vedere i pvt degli altri..... si può impedire questa cosa?? ...si perchè ho provato a farlo in un sito e mi è arrivato un mess che mi diceva che il webmaster era stato avvertito del mio tentativo di leggere i mess privatoi degli altri........

edit....ho sbajato sezione scusate....mi si sono incrociati gli occhi

13-06-2008, 12.30.27

Dovresti implementare un sistema di login utente.

ciao!

**zulukwebsite** · 13-06-2008, 12.45.21

Originalmente inviato da debug

Dovresti implementare un sistema di login utente.

ciao!

la pagina è già protetta da login...il mess lo puoi leggere solo se sei loggato...una volta entrato a leggere il tuo però , se sei bastardo dentro, puoi leggere tutto il db messaggi ..... ma forse infatti mi manca un pezzo

13-06-2008, 12.47.02

Se non fai nessun controllo prima di restituire il messaggio, è normale che il tutto sia bacato.
Il login lo gestisci tramite cookie?

ciao!

**zulukwebsite** · 13-06-2008, 12.54.51

Originalmente inviato da debug

Se non fai nessun controllo prima di restituire il messaggio, è normale che il tutto sia bacato.
Il login lo gestisci tramite cookie?

ciao!

si i è gestito tramite cookie....quindi devo trovare un metodo casereccio per far si che non si navighi tra i record se ho ben capito...tramite controllo dei dati ...no?

13-06-2008, 12.59.20

Bè, se tu gestisci già altre cose tramite autenticazione con cookie, allora non ti sarà molto difficile applicare questi controlli anche in questo caso, no?

Non ho capito dove trovi difficoltà...

Ora come ora, quali controlli fai sul cookie? E in che modo?

ciao!

**zulukwebsite** · 13-06-2008, 13.03.28

Originalmente inviato da debug

Bè, se tu gestisci già altre cose tramite autenticazione con cookie, allora non ti sarà molto difficile applicare questi controlli anche in questo caso, no?

Non ho capito dove trovi difficoltà...

Ora come ora, quali controlli fai sul cookie? E in che modo?

ciao!

oddio ..... devo tornare a casa per vedere tutto il sorgente... non mi ricordo una mazza(improvvisazione php)

13-06-2008, 14.05.56

Devi gestire la sessione di login salvando da qualche parte l'id dell'utente, e al momento di visualizzare il messaggio inserisci una clausula WHERE con il controllo dell'id utente...

Metodo al quanto casereccio, ma almeno non sono visibili i messaggi altrui...

**zulukwebsite** · 13-06-2008, 20.40.35

grazie .... ho protetto facendo dei controlli su cookie ....non si dovrebbe riuscire a leggere i mess del database che non siano i propri :)

Discussione: [PHP] impedire la navigazione tra i record tramite la modifica manuale del campo url

LinkBack

Strumenti discussione

Display

[PHP] impedire la navigazione tra i record tramite la modifica manuale del campo url

Regole di scrittura