¿determinar si se envio get por url o se escribio manualmente?

minombreesmm · #1 (**permalink**) 29/05/2014, 23:08

para que no se de el caso de que un usuario envie la pagina con parametros a otros sin necesidad de dar click
por ejemplo

index.php?mensaje=error el usuario no existe...

si yo envio este link a un amigo le saldra lo mismo, pero no debe salir que el amigo no intentaba logearse.
como evaluo eso?

de antemano gracias

quimfv · #2 (**permalink**) 30/05/2014, 02:07

El problema no seria el caso de dar un error que no corresponde si no que seria que haga algo para lo que no tienes permiso.

Esto lo puedes solucionar chequeando la existencia de una session con permisos para lo que se intente hacer apartir de lo que llega por GET, si la sesion no tiene permisos suficientes debes dar un mensaje de error que lo indique.

Italico76 · #3 (**permalink**) 30/05/2014, 06:06

Debes usar sessiones como te indica @quimfv, podrias pensar mil soluciones diferentes como un parametro extra en la URL generado de forma que tenga caducidad y lo puedas chequear contra DB o mediante un tipo de hash sin acceder a la DB....etc incluso enviar otro dato mas pero este ultimo mediante POST (o sea POST+GET) pero cualquier otra solucion es mas costosa o mas enredada

minombreesmm · #4 (**permalink**) 30/05/2014, 20:58

Cita:

Iniciado por quimfv

El problema no seria el caso de dar un error que no corresponde si no que seria que haga algo para lo que no tienes permiso.

Esto lo puedes solucionar chequeando la existencia de una session con permisos para lo que se intente hacer apartir de lo que llega por GET, si la sesion no tiene permisos suficientes debes dar un mensaje de error que lo indique.

bueno eso si, pues siempre chequeo las sesiones cuando se va a hacer algo que requiere sesion.
aunque en este caso no me gustaria enviar una url
index.php?mensaje=1

que interiormente signifique
"su pago ha sido transferido con exito"
y que un usuario jugueton lo ponga en una pagina web y que cualquier usuario haga click y le salga el mensaje y culpen a mi pagina o algo asi que piensen mal..

gracias

quimfv · #5 (**permalink**) 02/06/2014, 01:12

Es que si chequeas las sesiones siempre NO debe dar ese mensaje, por mucho que entren los parametros correctos por GET, debe redirigir al formulario de logueo.

Detectar si la url se ha escrito a mano o se ha usado un formulario para construirla es muy dificil si es que se puede.

Un usuario jugueton puede construir un formulario que lance tu url con los parametros que quiera por GET, no?

Italico76 · #6 (**permalink**) 02/06/2014, 05:18

Cita:

Iniciado por quimfv

Un usuario jugueton puede construir un fortmulario que lance tu url con los parametros que quiera por GET, no?

Incluso POST

minombreesmm · #7 (**permalink**) 02/06/2014, 23:18

Cita:

Iniciado por quimfv

Es que si chequeas las sesiones siempre NO debe dar ese mensaje, por mucho que entren los parametros correctos por GET, debe redirigir al formulario de logueo.

Detectar si la url se ha escrito a mano o se ha usado un formulario para construirla es muy dificil si es que se puede.

Un usuario jugueton puede construir un formulario que lance tu url con los parametros que quiera por GET, no?

¿en serio?

¿y como se validaría eso?

tendria que verificar ademas de todo la url proveniente entonces..
o algo mas?

quimfv · #8 (**permalink**) 03/06/2014, 00:50

Empieza por el principio

http://www.php.net/manual/es/features.sessions.php

olvídate de comprobar la url