Amedeo Viscido ha scritto:
Ciao a tutti,
volevo chiedere il vostro parere a riguardo una questione abbastanza
semplice (credo).
Ho una pagina php con un campo password; se l'utente digita bene la
password, inizializzo una variabile $_SESSION['pippo'], senza fare
nient'altro.
Un'altra pagina (che non è linkata da nessuna parte ed il cui nome cambia
di giorno in giorno) visualizza dei dati solo se la variabile pippo è
inizializzata (controllo che isset($_SESSION['pippo']) sia vera)
E' possibile, conoscendo il nome della variabile, forzarne
l'inizializzazione?
Supponiamo che qualcuno trova la pagina nascosta: se la variabile non è
stata inizializzata, gli viene mostrato un messaggio di errore 404.
Mi chiedo, è possibile dal lato client sapere che la pagina php cerca di
controllare se la variabile pippo è settata? Perché se si, bastarebbe
settare la variabile per abilitare l'accesso alla pagina "magica"!
il php è un linguaggio interpretato . il php serve per generare pagine
html da usare in un sistema client/server basato su tale protocollo
la pagina che vedi attraverso il browser è una pagina html generata da
un file contenente istruzioni (script) scritte in un altro linguaggio
elaborate sul server prima di inviare il risultato al browser (client).
di tutte le istruzioni presenti nella pagina in pho solo il risultato
delle azioni di output (echo print) sono inviate al browser e in forma
html, per cui non è possibile da parte del client conoscere ad esempio
il nome delle variabili, queste istruzioni non sono inviate con lapagina
html.
diverso è se uni sono di variabili dentro scrip che vengono eseguiti a
livello di client ( javascript) .
quindi in php esistono due versioni della pagina, una in formato script
visibile solo sul server e l'altra come risultato della intepretazione
visibile sul client tramite il browser.
durante la comunicazione puoi conoscere (intercettare) alcune
informazioni tra cui nomi di variabili ( se le usi nella riga url) o il
valore delle variabli se le trasmetti via url.
Le variabili sono attive solo per il tempo necessario a eseguire lo
script , una volta generata la pagina html e inviata tutto viene
cancellato salvo quello che è stato messo salvato su archivi o sessioni
permanenti.
Credo che in fondo non ci siano grandi problemi di sicurezza
rino
------------------------------------------------------------------------
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
