Consulta por url, como proteger la base de datos?

Enea · #1 (**permalink**) 21/01/2005, 09:55

Tendría que pasar por url una consulta a la base de datos,
el problema es que obtengo la consulta de un pop up y quiero ejecutar la sentencia en la ventana padre (de donde viene el pop-up).

Esto lo puedo conseguir en javascript perfectamente por medio de opener.location pero me da miedo que esto sea poco seguro ya que cualquiera que sepa un poco puede ejecutar sentencias en la url...

Existe alguna forma de mandarlo por post a la ventana padre? o no sé, ocultarlo... encriptarlo yo que se! que podría hacer? que me aconsejais?

Cluster · #2 (**permalink**) 21/01/2005, 14:02

No sé en que condiciones de la ventana padre le pasas el parámetro a la hija y la ejecutas . .pero en principio será tu script que corres en tu "ventana" el que tenga que validar los rangos de los datos que pasas . .ya sean "id's" de registros .. o cualquier otra cosa.

Lo que si que puedes es usar sesiones por lo menos para identificar que la ventana se abre desde una página que lo pide de tu sitio y no directamente ni de otro ni directamente.

Un saludo,

sism82 · #3 (**permalink**) 21/01/2005, 16:25

con javascript nunca vas a tener el nivel de seguridad que con php. En síntesis, danos mas detalles de por que necesitas hacer semejante cosa y seguro saldrá una solución sencilla sin tener que darle tantas vueltas al asunto.

saludos

Enea · #4 (**permalink**) 24/01/2005, 03:23

Pues el asunto es que tengo un pop-up que realiza una serie de preguntas (actua como buscador), y la consulta obtenida de esta búsqueda deberá aparecer en la ventana hija...

Pensareis que es una tontería, se hace la consulta en la ventana hija y ya esta, vale es una solución... pero yo quiero pasarle la consulta porque en esa ventana hija es la que uso tb para sacar listados de la base de datos y sería muy sencillo hacer un if y si venimos del buscador hacer una consulta y si no hacer otra...

No sé si entendeis el motivo por el que quiero hacerlo... me gustaría si hay alguna manera de ocultar la consulta o encriptarla, vamos q no sea sencillo modificarla.
Si no ya cambiaré el sistema, pero ya es por curiosidad!

Muchas gracias!

P.d: Cluster no he entendido muy bien lo que me has querido decir... :(

Durgeoble · #5 (**permalink**) 24/01/2005, 05:14

Porque en lugar de un popup no lo haces en un div "flotante" asi todo queda en la misma ventana

Cluster · #6 (**permalink**) 24/01/2005, 06:14

Enea ..

Si quieres "encriptar" puedes usar tus própios algorítmos o bien funciones como:

mcrypt()
www.php.net/mcrypt

Realmente no sé por qué quieres "encriptar" .. se supone que tu sistema debe gestionar usuarios y permisos de estos (ya sea por sesiones o cookies) .. así que por mucho que yo pretenda ver un dato "alterado" tus validaciones por usuario/nivel y dato a ver ya actuará . .ya sea en tu "pop-up" que lanzas o donde lo hagas.

En la página hija .. obtengo un resultado N que pasa a tu formulario de la página Padre .. Ese mismo resultado podría quedar en tu servidor como una variable de sesión así no es modificable por el caminio .. En tu script de proceso final .. usas los valores de tus variables de sesión .. no de tus campos "hidden" o de otro tipo que le distes valor por javacript desde el pop-up y valor que obtuvieras en el.

¿Sabes o conoces del uso de sesiones? .. si no es así . .visita las FAQ's de este foro, ahí tienes ejemplos e información sobre ellas.

Pero insisto .. que en última instancia tus rutinas finales de proceso algo debe validar ese dato. No sé que es lo que en tu pop-up obtienes ni como lo usas para el resto del proceso ..

Un saludo,