Como evitar que el usuario establezca la ruta donde hacer fwrite();

GuillermoM · #1 (**permalink**) 21/07/2011, 02:50

Hola, estoy realizando un sistema de artículos. Tengo ya la base que es esta:

Código PHP:

  <?php
$mensaje_error = "";
if ($_SERVER['REQUEST_METHOD'] == 'POST')

{
    
   $accion = isset($_POST['accion']) ? $_POST['accion'] : '';
    $base_datos = $_POST['titulo'];

   if ($accion == 'crear_articulo')
   {
        
        $base_datos = $_POST['titulo'];
        $nuevo_articulo = $_POST['articulo'];
        
        
    }
    if (empty($mensaje_error))
   {
         $archivo = fopen($base_datos, 'a');
         fwrite($archivo, $nuevo_articulo);
         
   }
   }
         
?>
<!DOCTYPE html>
<html>
<head>
<meta http-equiv="content-type" content="text/html; charset=ISO-8859-1" >
<link rel="stylesheet" type="text/css" href="../estilos/estiloarticulos.css"></link>
<title>Musicaendo - Nuevo artículo</title>
</head>
<body>
<!-- CABEZA -->
<div id="cabecero">
<div id="menu">
<div id="tabla">
    <ul>
<li><a href="http://www.forosdelweb.com/f18/opciones/index.php" >Opciones</a></li>    
<li><a href="estadisticas.php" >Estadísticas</a></li>    
    </ul>
</div>
</div>
<div id="menu2">
<div id="tabla2">
    <ul>
<li><a href="login.php" id="especial">Iniciar sesión</a></li>     
    </ul>
</div>
</div>
</div>
<div id="contenido">
<div id="herramienta">
<div class="margen">
<div id="div_articulo">
<form name="crear_articulo" method="post" action="<?php echo basename(__FILE__); ?>" id="crear_articulo">
<input type="hidden" name="accion" value="crear_articulo">
<table cellspacing="4" cellpadding="0" >
<tr>
  <td colspan="2" align="center" > <b>Nuevo artículo</b></td>
</tr>
<tr>
   <td align="right" >Título:</td>
   <td align="left"><input type="text" name="titulo"></td>
</tr>
<tr>
   <td align="right" >Artículo:</td>
   <td align="left"><textarea name="articulo"></textarea></td>
</tr>
<tr>
   <td colspan="2"><?php echo $mensaje_error; ?></td>
</tr>
<tr>
   <td>&nbsp;</td><td align="left" valign="bottom"><input type="submit" name="crear_articulo" value="¡Enviar!" id="crear_articulo"></td>
</tr>
</table>
</div>
</div>
</div>
</div>
</div>
</body>
</html>

Lo malo es que el usuario puede establecer la ruta donde quiere guardar el archivo mediante el input titulo, me gustaría que yo pudiera establecer la ruta y la extensión y que el usuario solo pudiese meter el titulo y nada más.

vgonga1986 · #2 (**permalink**) 21/07/2011, 05:06

Cómo que el usuario puede poner la ruta en título? Si te refieres a que pueda insertar "Ruta/de/articulo/título" en el campo título, lo único que tienes que controlar es que no metas el caracter "/".

Con stripos puedes comprobarlo:

Código PHP:

  if (stripos("/", $titulo)) { 
    echo "título NO permitido"; 
} else { 
    echo "título permitido"; 
}

Un saludo.

GuillermoM · #3 (**permalink**) 21/07/2011, 05:58

Bueno, creo que ya está, no lo he solucionado, los usuarios siguen pudiendo establecer la ruta del archivo pero no lo saben. Jejeje es pero que nadie lo descubra.

Ahí va el código con las modificaciones.

Código PHP:

  <?php 
session_start(); 
$mensaje_error = ""; 
if ($_SERVER['REQUEST_METHOD'] == 'POST') 
 
{ 
     
   $accion = isset($_POST['accion']) ? $_POST['accion'] : ''; 
    $base_datos = "../articulos/articulos/".$_POST['titulo'].".html"; 
    $pagina_sucesos = "../articulos/"; 
   if ($accion == 'crear_articulo') 
   { 
         
        $base_datos = "../articulos/articulos/".$_POST['titulo'].".html"; 
        $nuevo_articulo = $_POST['articulo']; 
        $nuevonombre_usuario = $_SESSION['nombre_usuario']; 
 
        $elementos = file($base_datos); 
      foreach($elementos as $enlinea) 
      { 
         list($nombre_usuario, $articulo) = explode('|', trim($enlinea)); 
          
         if ($nuevonombre_usuario == $nombre_usuario) 
         { 
            $mensaje_error = 'Tu nombre de usuario ya está en uso. Por favor, prueba con otro.'; 
            break; 
         } 
      } 
      if (empty($mensaje_error)) 
      { 
         $archivo = fopen($base_datos, 'a'); 
         fwrite($archivo, $nuevonombre_usuario); 
            fwrite($archivo, '|'); 
         fwrite($archivo, $nuevo_articulo); 
         fwrite($archivo, "\r\n"); 
         fclose($archivo); 
 
         header('Location: '.$pagina_sucesos); 
         exit; 
          
            } 
   } 
} 
          
?> 
<!DOCTYPE html> 
<html> 
<head> 
<meta http-equiv="content-type" content="text/html; charset=ISO-8859-1" > 
<link rel="stylesheet" type="text/css" href="../estilos/estiloarticulos.css"></link> 
<title>Musicaendo - Nuevo artículo</title> 
</head> 
<body> 
<!-- CABEZA --> 
<div id="cabecero"> 
<div id="menu"> 
<div id="tabla"> 
    <ul> 
<li><a href="../opciones/index.php" >Opciones</a></li>     
<li><a href="estadisticas.php" >Estadísticas</a></li>     
    </ul> 
</div> 
</div> 
<div id="menu2"> 
<div id="tabla2"> 
    <ul> 
<li><a href="login.php" id="especial">Iniciar sesión</a></li>      
    </ul> 
</div> 
</div> 
</div> 
<div id="contenido"> 
<div id="herramienta"> 
<div class="margen"> 
<div id="div_articulo"> 
<form name="crear_articulo" method="post" action="<?php echo basename(__FILE__); ?>" id="crear_articulo"> 
<input type="hidden" name="accion" value="crear_articulo"> 
<table cellspacing="4" cellpadding="0" > 
<tr> 
  <td colspan="2" align="center" > <b>Nuevo artículo</b></td> 
</tr> 
<tr> 
   <td align="right" >Usuario:</td> 
   <td align="left"> 
   <?php echo $_SESSION['nombre_usuario']; ?> 
   </td> 
</tr> 
<tr> 
   <td align="right" >Título:</td> 
   <td align="left"><input type="text" name="titulo" value=""></td> 
</tr> 
<tr> 
   <td align="right" >Artículo:</td> 
   <td align="left"><textarea name="articulo"></textarea></td> 
</tr> 
<tr> 
   <td colspan="2"><?php echo $mensaje_error; ?></td> 
</tr> 
<tr> 
   <td>&nbsp;</td><td align="left" valign="bottom"><input type="submit" name="crear_articulo" value="¡Enviar!" id="crear_articulo"></td> 
</tr> 
</table> 
</div> 
</div> 
</div> 
</div> 
</div> 
</body> 
</html>

GuillermoM · #4 (**permalink**) 21/07/2011, 05:58

Cita:

Iniciado por vgonga1986

Cómo que el usuario puede poner la ruta en título? Si te refieres a que pueda insertar "Ruta/de/articulo/título" en el campo título, lo único que tienes que controlar es que no metas el caracter "/".

Con stripos puedes comprobarlo:

Código PHP:

  if (stripos("/", $titulo)) { 
    echo "título NO permitido"; 
} else { 
    echo "título permitido"; 
}

Un saludo.

Muchas gracias. Te debo una.

vgonga1986 · #5 (**permalink**) 21/07/2011, 06:05

Cita:

Iniciado por GuillermoM

Muchas gracias. Te debo una.

Acepto jamones en Navidades, solicitar dirección por privado

Un saludo.

GuillermoM · #6 (**permalink**) 21/07/2011, 06:19

Cita:

Iniciado por vgonga1986

Acepto jamones en Navidades, solicitar dirección por privado

Un saludo.

Jejeje al final use un ereg pero muchas gracias por darme la idea de restringir el "/" de el titulo.

Ahí va acabado el scrip:

Código PHP:

  
<?php 
session_start(); 
$mensaje_error = ""; 
if ($_SERVER['REQUEST_METHOD'] == 'POST') 
 
{ 
     
   $accion = isset($_POST['accion']) ? $_POST['accion'] : ''; 
    $base_datos = "../articulos/articulos/".$_POST['titulo'].".html"; 
    $pagina_sucesos = "../articulos/motor.php"; 
   if ($accion == 'crear_articulo') 
   { 
         
        $base_datos = "../articulos/articulos/".$_POST['titulo'].".html"; 
        $nuevo_articulo = $_POST['articulo']; 
        $nuevonombre_usuario = $_SESSION['nombre_usuario']; 
 
        if (!ereg("^[A-Za-z0-9_!@$]{1,50}$", $_POST['titulo'])) 
      { 
      $mensaje_error = 'Título no permitido.'; 
      } 
       
        $elementos = file($base_datos); 
      foreach($elementos as $enlinea) 
      { 
         list($nombre_usuario, $articulo) = explode('|', trim($enlinea)); 
          
         if ($nuevonombre_usuario == $nombre_usuario) 
         { 
            $mensaje_error = 'Tu nombre de usuario ya está en uso. Por favor, prueba con otro.'; 
            break; 
         } 
      } 
      if (empty($mensaje_error)) 
      { 
         $archivo = fopen($base_datos, 'a'); 
         fwrite($archivo, $nuevonombre_usuario); 
            fwrite($archivo, '|'); 
         fwrite($archivo, $nuevo_articulo); 
         fwrite($archivo, "\r\n"); 
         fclose($archivo); 
 
         header('Location: '.$pagina_sucesos); 
         exit; 
          
            } 
   } 
} 
          
?> 
<!DOCTYPE html> 
<html> 
<head> 
<meta http-equiv="content-type" content="text/html; charset=ISO-8859-1" > 
<link rel="stylesheet" type="text/css" href="../estilos/estiloarticulos.css"></link> 
<title>Musicaendo - Nuevo artículo</title> 
</head> 
<body> 
<!-- CABEZA --> 
<div id="cabecero"> 
<div id="menu"> 
<div id="tabla"> 
    <ul> 
<li><a href="../opciones/index.php" >Opciones</a></li>     
<li><a href="estadisticas.php" >Estadísticas</a></li>     
    </ul> 
</div> 
</div> 
<div id="menu2"> 
<div id="tabla2"> 
    <ul> 
<li><a href="login.php" id="especial">Iniciar sesión</a></li>      
    </ul> 
</div> 
</div> 
</div> 
<div id="contenido"> 
<div id="herramienta"> 
<div class="margen"> 
<div id="div_articulo"> 
<form name="crear_articulo" method="post" action="<?php echo basename(__FILE__); ?>" id="crear_articulo"> 
<input type="hidden" name="accion" value="crear_articulo"> 
<table cellspacing="4" cellpadding="0" > 
<tr> 
  <td colspan="2" align="center" > <b>Nuevo artículo</b></td> 
</tr> 
<tr> 
   <td align="right" >Usuario:</td> 
   <td align="left"> 
   <?php echo $_SESSION['nombre_usuario']; ?> 
   </td> 
</tr> 
<tr> 
   <td align="right" >Título:</td> 
   <td align="left"><input type="text" name="titulo" value=""></td> 
</tr> 
<tr> 
   <td align="right" >Artículo:</td> 
   <td align="left"><textarea name="articulo"></textarea></td> 
</tr> 
<tr> 
   <td colspan="2"><?php echo $mensaje_error; ?></td> 
</tr> 
<tr> 
   <td>&nbsp;</td><td align="left" valign="bottom"><input type="submit" name="crear_articulo" value="¡Enviar!" id="crear_articulo"></td> 
</tr> 
</table> 
</div> 
</div> 
</div> 
</div> 
</div> 
</body> 
</html>

vgonga1986 · #7 (**permalink**) 21/07/2011, 06:24

Buenas,

ereg está Obsoleto en PHP5. Te recomiendo que utilices perg_match, la sintaxis de la función es la misma, pero en debes encerrar la expresión regular entre signos /:
preg_match("/^[A-Za-z0-9_!@$]{1,50}$/", $_POST['titulo'])

Añade un par de botellitas de un buen Champan francés y quedamos en paz.

Un saludo.