Solite righe serali per distrarsi qualche minuto.

Magari non è il tuo caso ma è pratica ahimè comune per gli scripter php iniziare a scrivere from scratch le applicazioni e le pagine (come se un programmatore c++ si scrivesse la stdio, non ha tanto senso no?).
Questo perchè un po' pratico, un po' perchè se mi metto a studiare librerie e/o framework non ci salto più fuori, un po' perchè bhè funziona lo stesso ed è pure più veloce.

Per poi venire a scoprire quando si programma davvero su progetti un po' più grandicelli che caso mai quelle librerie già mantenute fanno comodo, che, capista, la logica con cui lavora quel framework è intelligente, pratica, snella, astrae, il mio programmatore nuovo non capisce una cippa di quello che ho scritto ed è 10 anni che lavora con php tutti i giorni.

Un po' perchè, il motivo, anche, per cui ho smesso io, nascono e muoiono framework per php come funghi, di librerie ce ne sono un chiglione con 3 condimenti al ragù in omaggio ogni download e perdo 1 settimana per trovare quella fica che fa per me, imparare ad usarla, integrarla nel mio workflow e metterla in produzione e dopo 1 mese non è più supportata da nessuno se non dal programmatore originario che è un giovanotto giapponese che di giorno affetta sushi e di sera, quando non prende la ciucca col sake e non ciula la ragazza scrive 4 righe di quella libreria che morirà per ovvie ragioni.

Se vuoi lavorare davvero con php trova un framework che ti liberi (con cognizione di causa) del lavoro sporco, appunto la validazione per il tuo caso, ma anche l'astrazione dal db, ma soprattutto le procedure logiche per rendere coeso, manutentibile e non direttamente legato al programmatore il codice. Se ti cade l'occhio su un po' di progetti in php che hanno radici vecchie vedrai che sono tutti sviluppati con logiche diverse (oltre a tanti che manco usano le librerie nemmeno autocostruite). Questo ovviamente è deleterio nel momento in cui devi far programmare qualcuno sulla tua piattaforma che caso mai è un grande coder ma ci mette un disastro solo per capire come hai organizzato le cose.
Ultimamente (cioè da tanti mesi) il nostro paolo sta lavorando parecchio con symfony http://www.symfony-project.com/ e ne parla davvero un gran bene e sembra non sia una bolla di sapone, personalmente non lo seguo, magari interviene direttamente lui.

Personalmente, se e quando avrò tempo, mi piacerebbe studiare un po' Ruby on Rails http://en.wikipedia.org/wiki/Ruby_on_Rails per un motivo abbastanza semplice: in realtà poco manca che ruby esiste solo perchè c'è rails e nessuno si mette a scrivere un altro rails per sfizio. Mi pare che il sistema abbia un approccio più sensato. La logica di rails, per il poco che l'ho studiata, mi sembra molto razionale e pratica.

Si lo so.
Questo post non ti risolve il problema e non ti aiuta nemmeno un po' a risolverlo. Per risolverlo trova qualche testo sulla sicurezza di php o su come validare in maniera sicura lato server dei dati... troverai qualcosa come millemilli di script, consigli, suggerimenti, librerie tutte con la loro logica, con il loro modo di risolvere le cose, perchè scriverne un altro? Magari se scarichi la libreria giusta, oltre a risolverti il problema, ti arriva a casa il sugo pronto di Nonna Papera...

PS tanto per chiarire il motivo di questo intervento.
Dipende cosa vuoi fare del php e della programmazione in se. Se vuoi giocare con 4 pagine alla fine che siano sicure o meno non è che poi devi fasciarti la testa, se te le bucano sfiga, si rifaranno. Se hai messo dati sensibili in una applicazione e non sai validare (abc dei form webboli), bhè, lascia anche la porta di casa aperta con 1000 euro nell'ingresso e la collezione si swarovsky in bella vista.
Se vuoi imparare a scrivere roba che abbia un senso, sicura, utile e quindi in direzione di una professione stai seguendo l'approccio sbagliato: vado per tentativi e sistemo man mano raccattando quà e la script e consigli. Se ti va di fidarti, fidati di uno che ha fatto _esattamente_ così e dopo 5 anni si è reso conto di non aver capito un accidente . Se ti va di scrivere robi che abbiano un valore, relativamente sicuri, manutentibili, utili e blabla devi avere visione d'insieme delle cose, trovare gli strumenti giusti e supportati, imparare come ottenere da questi il massimo e non scriptare 400 righe al giorno per risolvere i problemi che ti saltano all'occhio.

Mo ciaooo!

Ciao UmbraSolis, preferisco risponderti sul forum invece che per pm perche' la discussione potrebbe essere utile anche ad altre persone.

Non voglio entrare nei dettagli specifici del tuo script, anche perche' ci metterei troppo tempo a capire un codice scritto da altri senza provarlo anche se ben commentato come il tuo, ma il concetto base che devi tenere a mente se vuoi pensare seriamente alla sicurezza e' il seguente:

non basare mai i controlli critici sul client.

La variabile $_SERVER['HTTP_REFERER'] che hai citato nel pm, ad esempio, e' comunque un'informazione inviata dal browser e per niente obbligatoria nello standard HTTP/1.1. Quando il browser invia una form, indipendentemente da tutto lo JavaScript che c'e' a monte, si tratta sempre di caratteri che passano dal client al server in forma testuale col protocollo HTTP: niente di magico. Nulla vieta ad un pirata di inviare le stesse identiche informazioni da riga di comando, saltando alla grande tutti i controlli che puoi aver messo sul client e modificando a piacere tutti i valori che vuole (compreso il referer...).

Se vuoi un consiglio, limita i controlli sul client a quelli necessari per il corretto funzionamento della form, es. campi che si attivano in base a valori inseriti in altri campi, valorizzazione di drop-down, ecc., ma effettua tutti i controlli "di business" sul server.

Ovviamente ti consiglio di seguire anche le preziose indicazioni di paolo e kripsio.

Spero di esserti stato d'aiuto.

Pietro