Foros del Web » Programando para Internet » PHP »

evitar

Estas en el tema de evitar en el foro de PHP en Foros del Web. yo para pro ejemplo borrar o editar algun registro lo que hago es lo siguiente Código PHP: http  :  //localhost/copp/loquesea.php?tipo=valor&id=numero  entonces si un usuario pone ...
  #1 (permalink)  
Antiguo 16/07/2003, 09:33
Avatar de DINASEN  
Fecha de Ingreso: marzo-2003
Mensajes: 997
Antigüedad: 14 años, 9 meses
Puntos: 1
evitar

yo para pro ejemplo borrar o editar algun registro lo que hago es lo siguiente
Código PHP:
http //localhost/copp/loquesea.php?tipo=valor&id=numero 
entonces si un usuario pone esos parametros pues borrara o editara el registro como puedo evitar esto?¿

es decir que entre en la web poniendo el la url entera?¿

Un Saludo

Última edición por DINASEN; 16/07/2003 a las 09:38
  #2 (permalink)  
Antiguo 16/07/2003, 09:42
Avatar de DINASEN  
Fecha de Ingreso: marzo-2003
Mensajes: 997
Antigüedad: 14 años, 9 meses
Puntos: 1
ya esta ya lo averigue

Gracias
  #3 (permalink)  
Antiguo 16/07/2003, 09:47
Ex Colaborador
 
Fecha de Ingreso: junio-2002
Mensajes: 9.091
Antigüedad: 15 años, 5 meses
Puntos: 16
Hola,

Si tu pagina funciona pasandole los datos por link, no puedes evitar que alguien ponga el link en la barra de direcciones. Podrias intentar usar HTTP_REFERER para comprobar la pagina desde donde viene el navegante, pero es una variable que depende del navegador y tambien se podria falsificar.

La solucion es que el script que realice la operacion requiera que estes identificado. Puedes hacerlo poniendo el script en un directorio protegido por password, o usar tu sistema de gestion de usuarios (o el de Cluster) o sesiones o cookies. Por ejemplo:
Código PHP:
<?php
if (tiene_permisos()) {
  
realizar operacion
} else {
  echo 
"Usted no se encuentra autorizado para realizar esta operacion. En 5 segundos se autodestruira su windows.";
}
Saludos.
__________________
Josemi

Aprendiz de mucho, maestro de poco.
  #4 (permalink)  
Antiguo 16/07/2003, 10:05
Avatar de Manoloweb  
Fecha de Ingreso: enero-2002
Ubicación: Monterrey
Mensajes: 2.454
Antigüedad: 15 años, 10 meses
Puntos: 5
Una cosa que yo hago es agregar un numero "verificador" en una variable adicional...

Por ejemplo:

ID=12

Para sacar el verificador hago algo como esto...

(ID X 8) + 3

(12 X 8) + 3= 99

Y tomo el ultimo digito, es decir 9

$verif=substr(($ID*8)+3,-1);

Entonces a la hora de construir el link, hago esto:

<a href="index.php?accion=borrar&v=9&ID=12">

Así, si alguien le cambia el ID manualmente, no funciona el srcipt, ya que antes de procesarlo, hago la comprobación de nuevo...

if (substr(($ID*8)+3,-1)==$_GET["v"]){

Borro el registro

} else {

Muestro un error

}

A ver si les sirve
__________________
Manoloweb
  #5 (permalink)  
Antiguo 16/07/2003, 10:35
Avatar de DINASEN  
Fecha de Ingreso: marzo-2003
Mensajes: 997
Antigüedad: 14 años, 9 meses
Puntos: 1
ok muchas gracias muy bueno manolo ese truco al final lo que hice fue requerir un php con HTTP_REFERER y si lo puso directamente le mando a hacer puñetas...jejejejeje

Gracias a los dos

PD: en apunto el trikillo de manolo

Un Saludo
  #6 (permalink)  
Antiguo 13/08/2003, 14:04
 
Fecha de Ingreso: marzo-2003
Ubicación: onde toy?
Mensajes: 1.437
Antigüedad: 14 años, 9 meses
Puntos: 9
Hola a todos la verdad es que estoy revisando todos los temas porque estoy tratando de aprender PHP y esto me pareció un tanto interesante...

Yo vengo migrando de ASP y en ASP manejamos este tema con las variables Session y la instruccion es como sigue

<% if session("variable")= " " then
response.redirect"sinprivilegios.asp"

else %>

<html>
ta
ta
ta(código html, asp, etc)
</html>

<end if%>



No hay forma de hacerlo con php y las variables session de php?
__________________
Buena Vida...
Francisco
  #7 (permalink)  
Antiguo 14/08/2003, 09:33
Avatar de DINASEN  
Fecha de Ingreso: marzo-2003
Mensajes: 997
Antigüedad: 14 años, 9 meses
Puntos: 1
si claro es de la misma forma mas o menos en php, pero el problema aqui no es que el user inicie una sesion ya que eso lo podra hacer si es un usuario el problema es que pueda editar un registro o incluso borrar uno quen o sea suyo...

mira en las faq´s que seguro que hay teexplican el tema de sesiones y cookies

Un Saludo
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 02:04.