Proteger acceso directo a un archivo

manupalaya · #1 (**permalink**) 30/09/2010, 17:39

Si ya se que es una pregunta típica, pero es que por más que aplico diferente script no me funciona ninguno.

Mirar tengo el archivo index.php que envia el formulario a recibido.php en el cual hago un UPDATE a la base de datos. ¿como impido el acceso directo a recibido.php?

ya he probado sin exito:

if($_SERVER['HTTP_REFERER'] != "index.php"){
echo "No puede acceder a este pagina de forma directa <br> Acseso Denegado !";
exit;
}

Y tambien a poner indices en archivo define('_INDICE_',true); y en recibido.php if (!defined('_INDICE_')) die("acceso denegado");

¿Que puedo hacer? mi archivo abajo:

index.php

Código PHP:

  <?php
 error_reporting(0);
    session_start();
    if(!isset($_SESSION['idioma'])){
        $_SESSION['idioma']="english";
    }


     include("languages.php");
     $palabra = new idiomas();
     include("configuration.php");
     $conexion=mysql_connect("$server","$user","$password");
     mysql_select_db("$database");

     $sql="select * from empleados where dni=0";
     $result=mysql_query($sql);
     $row=mysql_fetch_assoc($result);
     $content=$row['horas'];


if(isset($_POST['save'])) {
    print "<pre>";
    print_r($_POST);
    print "</pre>";
}
?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>

</head>
<body>

<form method="post" action="recibido.php">
    <div>
        <div><br /><input type="submit" name="save" value="Save" /><input type="reset" name="reset" value="Reset" />
            <textarea id="elm" name="elm">
                        
            </textarea>
        </div>
        <br />

    </div>
</form>
</body>
</html>

recibido.php

Código PHP:

  <?php
     include("configuration.php");
     $conexion=mysql_connect("$server","$user","$password");
     mysql_select_db("$database");

$sql="UPDATE ...";

if (!mysql_query($sql,$conexion))
  {
  die('Error');
  }
echo "enviado!";



?>

abimaelrc · #2 (**permalink**) 30/09/2010, 17:57

Podrías usar sesiones y hacer verificaciones que solo tu puedes saber. Por ejemplo en una página que tenga un formulario, tiene una sesión y un valor que solo vas a saber que existe para ese formulario (o página web mejor dicho). Ejemplo

addForm.php

Código PHP:

Ver original<?php
session_start();
$_SESSION['whatType'] = 'addFormSession';

updateForm.php

Código PHP:

Ver original<?php
session_start();
$_SESSION['whatType'] = 'updateFormSession';

Luego en la parte de añadir colocas algo como

Código PHP:

Ver original<?php
session_start();
if($_SESSION['whatType'] == 'addFormSession'){
    // código insert, etc...
}
 
if($_SESSION['whatType'] == 'updateFormSession'){
    // código update, etc...
}

manupalaya · #3 (**permalink**) 01/10/2010, 01:53

ahora entiendo lo que ocurre, y si funciona, pero el problema es que el mismo usuario, por error a veces puede volver pulsar o refrescar la pagina www.misitio/recibido.php, y entonces lo que ocurre es vuelve a ejecutarse la sentencia UPDATE y me borra la base de datos

?Como hacer para que solo se ejecute si procede del formulario exclusivamente?

muchas gracias por ayudarme.

mortiprogramador · #4 (**permalink**) 01/10/2010, 02:36

Cita:

Iniciado por manupalaya

ahora entiendo lo que ocurre, y si funciona, pero el problema es que el mismo usuario, por error a veces puede volver pulsar o refrescar la pagina www.misitio/recibido.php, y entonces lo que ocurre es vuelve a ejecutarse la sentencia UPDATE y me borra la base de datos

?Como hacer para que solo se ejecute si procede del formulario exclusivamente?

muchas gracias por ayudarme.

podrías revisar si en el $_POST viene el save (o submit) y si es así, es que viene del formulario, si no, pues ya sabes
saludos

manupalaya · #5 (**permalink**) 01/10/2010, 02:58

Exacto ese era el problema, por si alguien le vale he hecho un mix de manera que no te deja acceder directamente y además inmediatamente despues de enviar el formulario vuelve atras y asi el usuario no se queda en recibido.php

Código PHP:

  <?php 
session_start(); 
if(isset($_POST['save'])) { 
     include("configuration.php"); 
     $conexion=mysql_connect("$server","$user","$password"); 
     mysql_select_db("$database"); 
 
$sql="UPDATE.........."; 
 
if (!mysql_query($sql,$conexion)) 
  { 
  die('Error, please try again.'); 
  } 
echo "Envado!"; 
 
} 
 
?> 
<html> 
    <body onload="javascript:window.history.back()"></body> 
</html>

gracias a todos

abimaelrc · #6 (**permalink**) 01/10/2010, 05:27

En vez de usar javascript para redireccionar usa la funcion header. Como no envia informmacion al navegador y se mantuvo antes del ambito de las cabeceras no va a aparecer registro alguno en el historial.

manupalaya · #7 (**permalink**) 01/10/2010, 08:42

buena idea. mil gracias he podido terminarlo :)