Corsi on-line

Uso errato dei valori di sessione in PHP

Navigando tra una pagina e l’altra fra i miei forum di discussione preferiti in tema di sviluppo, ho trovato un esempio di form che conteneva due campi nascosti come i seguenti:

<input type='hidden' name='nome' value='".$_SESSION["nome"]."'>
<input type='hidden' name='cognome' value='".$_SESSION["cognome"]."'>

Sintatticamente non troviamo nessun errore, è la logica con la quale sono state impiegate le sessioni che è sbagliata, o se volete semplicemente “criticabile”, i valori di sessione sono infatti sempre disponibili per definizione fino a quando non scadono o, per un qualsiasi motivo, non vengono cancellati.

Quindi perché inviare dei valori già presenti in sessione tramite modulo? Che si debba spedire un feedback, una email o popolare la tabella di un database il discorso è lo stesso, i valori di sessione sono immediatamente disponibili e possono essere utilizzati direttamente tramite le variabili che li contengono.

Cattive pratiche come questa, dato che non proprio di “errore” possiamo parlare, derivano probabilmente dall’abitudine di utilizzare i form come unica interfaccia per interagire con le applicazioni che elaborano i dati, a meno che non si desideri inviare dei valori da una pagina protetta ad una non protetta (che quindi non considera le informazioni di sessione), cosa fattibile, ma fino a prova contraria insensata.

Post correlati
I più letti del mese
Tematiche