denegar acceso a enviar.php

juankardj · #1 (**permalink**) 01/02/2012, 08:57

Hola a tod@s, tengo un problema con un formulario y es el siguiente:

tengo un formulario html que al ejecutarlo hace actuar un archivo php (enviar.php)
una vez que el php ha realizado su trabajo, éste muestra una pagina de confirmacion de mensaje enviado.Pues bien los tres archivo estan en la misma carpeta de un servidor web.

El acceso normal para el envio del formulario es:

www.mipaginaweb/micarpeta/formulario.thml

El tema es que si pongo en la barra de navegacion:

www.mipaginaweb/micarpeta/enviar.php

aparece la página de confirmación del formulario enviado, y éste me envia un e-mail con los campos vacios diciendo que se me han enviado unos datos.

Puedo bloquear el acceso para que cuando vayan a la dirección del php,éste no se ejecute?

Muchisimas gracias

enviar.php

<?php
$fecha = date("d/m/Y H:i:s");
$nombre = $_REQUEST['nombre'] ;
$apellidos = $_REQUEST['apellidos'] ;
$email = $_REQUEST['email'] ;
$confirmacion = "Estos son los datos que has introducido. Muchas gracias por tu participación:<br /><br />Nombre: $nombre <br />Apellidos: $apellidos";
mysql_connect ('servidor', 'usuario', 'contraseña') or die ('Error: ' . mysql_error());
mysql_select_db ('nombre_bd');
$query="INSERT INTO prueba (fecha, nombre, apellidos, email) VALUES ('$fecha', '$nombre', '$apellidos', '$email')";
mysql_query($query) or die ('Error en la carga de datos');
mail($email, "Asunto del mensaje", $confirmacion, "From: [email protected]");
header("location:http://www.tudominio.es/respuesta.html")
?>

maycolalvarez · #2 (**permalink**) 01/02/2012, 09:42

1 - no use $_RESQUEST, use $_POST o $_GET según el caso

2 - verifique si se ha enviado datos:

Código PHP:

  if (! isset($_POST['nombre']) {
    echo 'no se han enviado datos';
    exit;
}

maximilianojcelis · #3 (**permalink**) 01/02/2012, 11:46

Bien, como dijo maycolalvarez, usa $_POST o $_GET, no $_RESQUEST.
Son errores comunes que uno comete cuando se esta iniciando a programar y los tutoriales que uno esta siguiendo son malos o antiguos.
Con respecto al mensaje, te recomendaria que la validacion del form la hagas en la misma pagina del formulario y tambien controles si se hizo click en submit o no con la funcion que te paso maycolalvarez... saludos!

juankardj · #4 (**permalink**) 01/02/2012, 16:16

donde tendria que colocar exactamente esto?:

if (! isset($_POST['nombre']) {
echo 'no se han enviado datos';
exit;
}

Muchas gracias a los dos, lo pruebo y os comento

mitcheldaza · #5 (**permalink**) 01/02/2012, 21:28

Alguna vez vi un problema parecido, incluso algo aplique para la solucion .. soy bien novato.

Segu entiendo deseas que no se pueda acceder a enviar.php si antes no se ha logeado una persona. Cualquier intento de entrar por url debe ser redirigido.

Use esa vez variables de sesion de esta forma:

En el formulario de acceso, cuando ya se ha dado acceso al usuario (la autenticacion ha terminado satisfactoriamente) declaro una variable de sesion.

Código PHP:

  $_SESSION['autenticado']="si";

El script que me validara la existencia de la variable de sesion y de no existir redirigira seria algo asi como este seguridad.php

Código PHP:

  session_start(); 
 
//comprueba que esta autenticado 
 
if($_SESSION['autenticado']!="si"){ 
    //no existe autenticacion de usuario 
    Header("Location:index.php") 
     
    exit(); 
}

Es posible hacer la redireccion con Header tambien.

Por ultimo En las paginas donde necesito que no se de acceso a una persona a menos que esta este autenticada coloco (enviar.php). Antes que cualquier sentencia y etiqueta html.

Código PHP:

  include ("seguridad.php");

Asi cualquiera que intente entrar a enviar.php y no se haya logeado sera redirigido a index.php.

Es una solucion sencilla pero funcional

luis_h_1 · #6 (**permalink**) 01/02/2012, 23:24

Hola puedes utilizar la funcion isset para determinar que las variable esten definidias y despues con la empty para que no se envie el correo con campos vacios

algo asi:

Código PHP:

Ver original<?php
if(isset($_POST['nombre']) && isset($_POST['apellidos']) && isset($_POST['email')]){
if(!empty($_POST['nombre']) && !empty($_POST['apellidos']) && !empty($_POST['email'])){
 
$fecha = date("d/m/Y H:i:s");
$nombre = $_REQUEST['nombre'] ;
$apellidos = $_REQUEST['apellidos'] ;
$email = $_REQUEST['email'] ;
$confirmacion = "Estos son los datos que has introducido. Muchas gracias por tu participación:<br /><br />Nombre: $nombre <br />Apellidos: $apellidos";
mysql_connect ('servidor', 'usuario', 'contraseña') or die ('Error: ' . mysql_error());
mysql_select_db ('nombre_bd');
$query="INSERT INTO prueba (fecha, nombre, apellidos, email) VALUES ('$fecha', '$nombre', '$apellidos', '$email')";
mysql_query($query) or die ('Error en la carga de datos');
mail($email, "Asunto del mensaje", $confirmacion, "From: [email protected]");
header("location:http://www.tudominio.es/respuesta.html")
}
}
?>

saludos

Sourcegeek · #7 (**permalink**) 01/02/2012, 23:38

Hay que hacer notar que si vas a hacer uso de empty, no es necesario el uso de isset, ya que la primera checa que la variable exista además de que no esté vacía.

Saludos

luis_h_1 · #8 (**permalink**) 01/02/2012, 23:59

Cita:

Iniciado por Sourcegeek

Hay que hacer notar que si vas a hacer uso de empty, no es necesario el uso de isset, ya que la primera checa que la variable exista además de que no esté vacía.

Saludos

Cierto ^^

juankardj · #9 (**permalink**) 02/02/2012, 08:17

Cita:

Iniciado por mitcheldaza

Alguna vez vi un problema parecido, incluso algo aplique para la solucion .. soy bien novato.

Segu entiendo deseas que no se pueda acceder a enviar.php si antes no se ha logeado una persona. Cualquier intento de entrar por url debe ser redirigido.

Use esa vez variables de sesion de esta forma:

En el formulario de acceso, cuando ya se ha dado acceso al usuario (la autenticacion ha terminado satisfactoriamente) declaro una variable de sesion.

Código PHP:

  $_SESSION['autenticado']="si";

El script que me validara la existencia de la variable de sesion y de no existir redirigira seria algo asi como este seguridad.php

Código PHP:

  session_start(); 
 
//comprueba que esta autenticado 
 
if($_SESSION['autenticado']!="si"){ 
    //no existe autenticacion de usuario 
    Header("Location:index.php") 
     
    exit(); 
}

Es posible hacer la redireccion con Header tambien.

Por ultimo En las paginas donde necesito que no se de acceso a una persona a menos que esta este autenticada coloco (enviar.php). Antes que cualquier sentencia y etiqueta html.

Código PHP:

  include ("seguridad.php");

Asi cualquiera que intente entrar a enviar.php y no se haya logeado sera redirigido a index.php.

Es una solucion sencilla pero funcional

El formulario precisamente es para registrar usuarios, con lo cual no se va a cumplir la funcion:

$_SESSION['autenticado']="si";

tiene que haber alguna otra forma...
de todas formas muchas gracias por tu tiempo

juankardj · #10 (**permalink**) 02/02/2012, 08:19

Cita:

Iniciado por luis_h_1

Hola puedes utilizar la funcion isset para determinar que las variable esten definidias y despues con la empty para que no se envie el correo con campos vacios

algo asi:

Código PHP:

Ver original<?php
if(isset($_POST['nombre']) && isset($_POST['apellidos']) && isset($_POST['email')]){
if(!empty($_POST['nombre']) && !empty($_POST['apellidos']) && !empty($_POST['email'])){
 
$fecha = date("d/m/Y H:i:s");
$nombre = $_REQUEST['nombre'] ;
$apellidos = $_REQUEST['apellidos'] ;
$email = $_REQUEST['email'] ;
$confirmacion = "Estos son los datos que has introducido. Muchas gracias por tu participación:<br /><br />Nombre: $nombre <br />Apellidos: $apellidos";
mysql_connect ('servidor', 'usuario', 'contraseña') or die ('Error: ' . mysql_error());
mysql_select_db ('nombre_bd');
$query="INSERT INTO prueba (fecha, nombre, apellidos, email) VALUES ('$fecha', '$nombre', '$apellidos', '$email')";
mysql_query($query) or die ('Error en la carga de datos');
mail($email, "Asunto del mensaje", $confirmacion, "From: [email protected]");
header("location:http://www.tudominio.es/respuesta.html")
}
}
?>

saludos

Hola luis, he puesto este codigo y no me funciona...
me da este error:
Parse error: syntax error, unexpected ')', expecting ']' in ////enviar.php on line 2

juankardj · #11 (**permalink**) 02/02/2012, 09:34

Bueno la verdad es que era facil...es que no tengo ni idea de php jejeje

He puesto ésto y funciona bien,ahora si alquien accede a enviar.php, le aparece el mensage "los campos no pueden estar vacios" y lo mas importante, no se registran datos vacios en la base de datos.

if(empty($_POST['nombre']) && empty($_POST['apellidos']) && empty($_POST['email'])) // comprueba que los campos no se envien vacios
{
echo 'Los campos no pueden estar vacios';
exit;
}

no se que diferencia hay entre estas dos funciones:

(!empty($_POST['nombre'])

(empty($_POST['nombre'])

la primera con el símbolo ! no me funciona.

ahora me queda otra cosa, y es esto:

al rellenar el formulario, me envia los datos y despues me aparece una pagina diciendome que el registro ha sido enviado correctamente, pues bien ahora si clico en el flecha (pagina anterior del explorador) para retroceder a la web del formulario, me aparecen los datos ya rellenados como antes los tenia,y si le doy a enviar me registra dos veces los mismos datos.

necesito que cuando se envien los datos,se borren del formulario...have que encuentro por ahi

Muchas gracias