Ciao a tutti, volevo chiedere il vostro parere a riguardo una questione abbastanza semplice (credo).
Ho una pagina php con un campo password; se l'utente digita bene la password, inizializzo una variabile $_SESSION['pippo'], senza fare nient'altro. Un'altra pagina (che non è linkata da nessuna parte ed il cui nome cambia di giorno in giorno) visualizza dei dati solo se la variabile pippo è inizializzata (controllo che isset($_SESSION['pippo']) sia vera) E' possibile, conoscendo il nome della variabile, forzarne l'inizializzazione? Supponiamo che qualcuno trova la pagina nascosta: se la variabile non è stata inizializzata, gli viene mostrato un messaggio di errore 404. Mi chiedo, è possibile dal lato client sapere che la pagina php cerca di controllare se la variabile pippo è settata? Perché se si, bastarebbe settare la variabile per abilitare l'accesso alla pagina "magica"! -- Amedeo Viscido Responsabile IT e sviluppo software
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
