proteção subdomínio

[Alebhz37 0]

Pessoal eu tenho um sistema web php.

Tenho alguns clientes e acabo de descobrir uma falha grave de segurança e preciso de uma luz para resolver isso.

eu tenho uns 10 clientes e crio um sub-domínio para cada cliente fazer o acesso ao sistema. até aí tudo bem...

quando o acesso é feito usando o subdomínio, exemplo:

alessandro.meudominio.com.br - está tudo certo!

elenice.meudominio.com.br - está tudo certo!

agora vem o problema:

se o cliente fizer o acesso assim: www.meudominio.com.br/alessandro ele também tem acesso a página de login e entrando com os dados corretamente ele acessa o sistema

então eu descobri o seguinte:

depois de acessado, se ele descobrir ( chutar ) o subdominio (pasta) de um outro cliente, www.meudominio.com.br/elenice

ele também consegue acessar o sistema do outro cliente...

Falha grave!!!

alguém pode me dar uma luz!!! preciso corrigir isso urgente.

desde já agradeço.

[ESerra 744]

Você tem algumas formas de verificar isto, por exemplo:

$_SERVER['REQUEST_URI']

Vai retornar / se acessado no subdomínio, e vai retornar o próprio nome da pasta se for acessado por ela.

$_SERVER['HTTP_HOST']

Vai retornar subdominio.dominio.tld se for acessado pelo subdomínio e apenas dominio.tld se for acessando a pasta.

[Maykel-ctba 233]

Falta lógica na sua autenticação. Ao fazer o login, pelo visto, tem acesso a qualquer informação. Você precisa verificar que o ID que está logado deve ser restrito a apenas um subdomínio (controlar isso, sabe?). Se o subdominio for diferente do que está liberado, trave, jogue uma mensagem de erro, qualquer coisa.

[Alebhz37 0]

obrigado! vou fazer isso... assim que eu resolver eu volto para colocar como resolvido.

as respostas se completam...

obrigado a todos

Abraços!