[ASP-JSP-PHP] session e form

gaglioppo · 02-11-2004, 10:51

ciao amici,

penso la questione valga sia per asp che per jsp che per php.
A me interessa in particolare asp.

Nel mio sito ho una pagina con una form e delle session e il classico bottone "conferma", mi chiedo:

- è possibile recuperare le variabili della sessione?

per le variabili della form basta andare a vedere l'html della
pagina stessa, ma per le session?

Mi chiedevo in particolare se fosse possibile invece di cliccare su "conferma" scrivere l'indirizzo della pagina successiva, prendendo l'indirizzo dalla form (action....)(scrivendo www.paginasuccessiva.it/nextpage1.html), passando le variabili della form (input) (facendo ?&nome=XXX&nome2=YYY) e per ultimo indicando le variabili delle session ( QUI NON SO COME SI POTREBBE FARE ).

grazie per l'aiuto.

licky79 · 02-11-2004, 11:25

Per recuperare la sessione di default:

<%Session.SessionID%>

Se invece vuoi richiamare una sessione che ti sei creato tu:

<%
Session("myVar") = "Sessione creata da me"
%>

<p>
Il valore della mia sessione è: <%=Session("myVar")%>
</p>

gaglioppo · 03-11-2004, 10:03

no, scusa, forse non mi sono spiegato.....

non voglio sapere come si "cattura" una session nella creazione di una pagina asp (o jsp o php).

La mia è una domanda che riguarda la sicurezza.

Cerco di spiegarmi (forse avrei dovuto farlo prima):

se io ho una pagina asp (o jsp o php) che riceve una variabile, esempio, passo:

- la quantità (0,1,2)
- il codice di un prodotto

attraverso una form html, tipo:

<form method="POST" action="lista.php" >
<SELECT size="1" name="quantita">
<option value="0"> 0 articoli </option>
<option value="1"> 1 articoli </option>
<option value="2"> 2 articoli </option>
</select>
<input type=text name=codice size=60>
</form>

poniamo l'attenzione della quantità, che deve essere NECESSARIAMENTE 0,1,2,

ora il punto è questo:

Se qualcuno scrive sulla barra degli indirizzi:

www.lista.php?codice=pippo&quantita=4

ha modificato la quantita' con un valore non consentito, allora nella pagina lista.php (se non metto qualcosa che controlla la quantita') potrei avere dei problemi.

Quindi semplicemente scorrendo il listato html qualche utente del mio sito potrebbe cambiare le carte in tavola.

La mia domanda:
Se si usano le session si possono ottenere i nomi delle variabili delle session ed eventualmente usarle a proprio piacimento scrivendole sulla barra degli indirizzi?

esempio: se ho una variabile di session di nome "segreta", si potrebbe fare:

http://www.lista.php?codice=pippo&qu...4&segreta=5607

(o qualcosa di simile?)

grazie, spero di esser stato abbastanza chiaro.

gaglioppo · 04-11-2004, 23:49

up! forse non sono stato chiaro?

eppure dovrebbe essere un problema di sicurezza a molti noti.

02-11-2004, 10:51	#1
gaglioppo Senior Member Iscritto dal: Sep 2002 Città: Monza Messaggi: 598	[ASP-JSP-PHP] session e form ciao amici, penso la questione valga sia per asp che per jsp che per php. A me interessa in particolare asp. Nel mio sito ho una pagina con una form e delle session e il classico bottone "conferma", mi chiedo: - è possibile recuperare le variabili della sessione? per le variabili della form basta andare a vedere l'html della pagina stessa, ma per le session? Mi chiedevo in particolare se fosse possibile invece di cliccare su "conferma" scrivere l'indirizzo della pagina successiva, prendendo l'indirizzo dalla form (action....)(scrivendo www.paginasuccessiva.it/nextpage1.html), passando le variabili della form (input) (facendo ?&nome=XXX&nome2=YYY) e per ultimo indicando le variabili delle session ( QUI NON SO COME SI POTREBBE FARE ). grazie per l'aiuto. __________________ Nunc est bibendum

02-11-2004, 11:25	#2
licky79 Senior Member Iscritto dal: Mar 2003 Città: Costiera Amalfitana Messaggi: 604	Per recuperare la sessione di default: <%Session.SessionID%> Se invece vuoi richiamare una sessione che ti sei creato tu: <% Session("myVar") = "Sessione creata da me" %> <p> Il valore della mia sessione è: <%=Session("myVar")%> </p> __________________ C A R P E D I E M

03-11-2004, 10:03	#3
gaglioppo Senior Member Iscritto dal: Sep 2002 Città: Monza Messaggi: 598	no, scusa, forse non mi sono spiegato..... non voglio sapere come si "cattura" una session nella creazione di una pagina asp (o jsp o php). La mia è una domanda che riguarda la sicurezza. Cerco di spiegarmi (forse avrei dovuto farlo prima): se io ho una pagina asp (o jsp o php) che riceve una variabile, esempio, passo: - la quantità (0,1,2) - il codice di un prodotto attraverso una form html, tipo: <form method="POST" action="lista.php" > <SELECT size="1" name="quantita"> <option value="0"> 0 articoli </option> <option value="1"> 1 articoli </option> <option value="2"> 2 articoli </option> </select> <input type=text name=codice size=60> </form> poniamo l'attenzione della quantità, che deve essere NECESSARIAMENTE 0,1,2, ora il punto è questo: Se qualcuno scrive sulla barra degli indirizzi: www.lista.php?codice=pippo&quantita=4 ha modificato la quantita' con un valore non consentito, allora nella pagina lista.php (se non metto qualcosa che controlla la quantita') potrei avere dei problemi. Quindi semplicemente scorrendo il listato html qualche utente del mio sito potrebbe cambiare le carte in tavola. La mia domanda: Se si usano le session si possono ottenere i nomi delle variabili delle session ed eventualmente usarle a proprio piacimento scrivendole sulla barra degli indirizzi? esempio: se ho una variabile di session di nome "segreta", si potrebbe fare: http://www.lista.php?codice=pippo&qu...4&segreta=5607 (o qualcosa di simile?) grazie, spero di esser stato abbastanza chiaro. __________________ Nunc est bibendum

04-11-2004, 23:49	#4
gaglioppo Senior Member Iscritto dal: Sep 2002 Città: Monza Messaggi: 598	up! forse non sono stato chiaro? eppure dovrebbe essere un problema di sicurezza a molti noti. __________________ Nunc est bibendum

Strumenti
Mostra una versione stampabile Invia questa pagina per email