Duda o problema sobre identificador de cluster

sergi_climent · #1 (**permalink**) 30/03/2005, 02:42

wenas,
El siguiente codigo me genera una tabla de resultados. Al escojer un resultado este me abre una pagina donde sale el registro seleccionado detallado.

Código PHP:

 
while($registro=mysql_fetch_array($res)) 
{ 
?> 
<!-- taula de resultats --> 
  <tr bgcolor="#CCCCCC" onMouseOver="this.style.backgroundColor='#EFEFEF';this.style.cursor='hand';" onMouseOut="this.style.backgroundColor='#CCCCCC'"o"];" onClick="window.open('dsp_desgloç.php?numero=<? echo $registro["numero"] ?>','Ticket','width=600, height=350,top=0, scrollbars=yes')"> 
    <td><font size="2" face="Verdana, Arial, Helvetica, sans-serif" color="#000000"><b><? echo $registro["numtick"]; ?></b></font></td> 
    <td><font size="2" face="Verdana, Arial, Helvetica, sans-serif" color="#000000"><b><? echo $registro["horaini"]; ?></b></font></td> 
    <td><font size="2" face="Verdana, Arial, Helvetica, sans-serif" color="#000000"><b><? echo $registro["horafin"]; ?></b></font></td> 
    <td><font size="2" face="Verdana, Arial, Helvetica, sans-serif" color="#000000"><b><? echo $registro["venedor"]; ?></b></font></td> 
    <td><font size="2" face="Verdana, Arial, Helvetica, sans-serif" color="#000000"><b><? echo $registro["total"]; ?></b></font></td> 
  </tr> 
<!-- fi taula resultats --> 
<?

Al abrir la pagina q contiene este codigo al principio de la pagina:

Código PHP:

  <?php 
require ("../../aut_verifica.inc.php"); 
$numero=($_GET['numero']); 
?>

me da el siguiente error:

Error cod.:1 - Acceso incorrecto!

este error lo he encontrado en la pagina aut_verifica_inc.php

Código PHP:

  // chequear si se llama directo al script. 
if ($_SERVER['HTTP_REFERER'] == ""){ 
die ("Error cod.:1 - Acceso incorrecto!"); 
exit; 
}

alguien sabe porque sucede y como solucionarlo?

Gracias de antemano,

yoseman · #2 (**permalink**) 30/03/2005, 05:05

No conozco muy bien el identificador del amigo cluster, pero fíjate parece que te está pidiendo como condición que una página anterior haga la llamada a la que contenga el identificador.

Supongo que lo hacen para que uno no se ponga a trastear enviando cosas raras desde su PC, vía a través formulario o vía URL. Aunque supongo que tambien comprabará entonces que el HTTP_HOST o SERVER_NAME esté contenido en ese HTTP_REFERER .

En fin, tambien he leido por ahi que a veces HTTP_REFERER no funciona correctamente, aunque no sé por qué.

Salu2 ;)

sergi_climent · #3 (**permalink**) 30/03/2005, 07:57

Gracias yoseman x tu respuesta, aunque aun no he encontrado la solucion... alguna idea o alguna solucion?
gracias de antemano,

Saludos

Cluster · #4 (**permalink**) 30/03/2005, 09:14

La información del HTTP_REFERER no es entregada por tu navegador al abrir tu "pop-up" vía javascript, por eso detecta ese problema el script (un supuesto acceso directo al script).

La solución es que prescindas de ese código de validación del HTTP_REFERER ..

Como menciona yoseman . .no es seguro confiar en dicho valor para validaciones. De igual manera Autentificator ya valida sesiones por otro lado .. así que no afecta para nada en la seguridad de tus scripts quitar dicho código. (lo que pasa que entre unas cosas y otras nunca actualizé Autentificator en ese aspecto).

Un saludo,

sergi_climent · #5 (**permalink**) 30/03/2005, 09:40

Gracias Cluster.

Saludos