Questo sito utilizza cookies solo per scopi di autenticazione sul sito e nient'altro. Nessuna informazione personale viene tracciata. Leggi l'informativa sui cookies.
se io usassi un sistema del genere per fare un autenticazione per un area protetta, incorrerei in dei rischi di sicurezza da parte di utenti malevoli o no?
considerando che:
- invia è il nome del pulsante premuto
- nome e password sono i nomi dei due input di tipo text
- users è il nome della tabella dove sono inseriti tutti gli utenti registrati
------------
la mia domanda è:
questo codice garantisce veramente che i dati all'interno della tabella "TABELLA RISERVATA" possono essere inseriti solo ed esclusivamente da un utente che si è loggato veramente?
ai fini della sicurezza c'è modo di poter aggirare, da parte di un utente malevolo, questa autenticazione?
se si in che modo??
grazie a chi mi risponderà
Ultima modifica effettuata da Anonymous il 02/04/2011 alle 12:13
hai provato a fare dei testi di sql injection?
prova con acunetix e vedi che succede.
no il problema non è l'sql injection perché come vedi prima di inserire nella query i dati presi in input dall'utente li codifico con htmlentities... il problema che mi ponevo era se esistesse un qualche modo per aggirare le variabili di sessione - Anonymous - 02/04/11 22:46