Denegar acceso a archivos

gvargas · #1 (**permalink**) 19/12/2006, 09:36

Hola a todos,

Tengo el siguiente problema: Dibujo en una tabla html el contenido de una consulta, cada fila es un registro, al principio de cada fila pongo un checkbox, el usuario puede seleccionar varios registros (mediante el checkbox) y luego puede borrarlos si lo desea.

Uso AJAX para hacer esto, oculto los <tr> mediante javascript y en segundo plano borro los registro medainte un script PHP

Código AJAX

Código PHP:

  function BorraFicha(fichas) 
    { 
          var cadena = fichas.substr(0, fichas.length - 1);                     
           
        my_r = parseInt(Math.random()*999999999999999);                 
         
        ajax = getAjax(); 
                                 
        ajax.open("GET", 'borra_ficha.action.php?fichas=' + cadena + '&my_r=' + my_r, true); 
         
         
        ajax.send(null); 
    }

script PHP

Código PHP:

  if ($_GET) 
    { 
          if (isset($_GET['fichas'])) 
              $fichas = $_GET['fichas']; 
           
          $result = tep_db_query("DELETE FROM dptdetdpopor01 WHERE ddpnumdpo IN(" . $fichas . ");");                     
           
          if (! $result) 
              echo "Ocurrio un error mientras se borraban las fichas seleccionadas, intentar nuevamente."; 
           
          $result->close; 
    }

Todo funciona de maravilla

Pero si en el url hago referencia directamente al scritp que borra los registros y paso los parametros directamente eg '...borra_ficha.action.php?fichas=1,2,3,4,5...1000 0' el usuario podría borrar todos los registros de la tabla.

Esto no debe permitirse pues sólo el usuario que ha iniciado sesión puede borrar los registros que le pertenecen y no de otros usuarios.

Cómo pues, forzar que el borrado de registros se haga necesariamente mediante AJAX??.

Saludos

mauled · #2 (**permalink**) 19/12/2006, 10:25

En la tabla en donde tienes almacenado el id de la ficha ¿tambien se encuentra el id del usuario? Porque lo que podrias hacer es, pasarle a tu script de php el id del usuario y verificar si tiene permiso de "acceder" a esa ficha.

Saludillos.

gvargas · #3 (**permalink**) 19/12/2006, 10:38

Gracias por responder,

No, el ID del usuario lo tengo a tres tablas de dependencia (zona - periodo), quería ahorrarme la consulta para determinar si cada ficha que se intenta borrar pertenece al usuario que ha iniciado sesión...

Y es que he visto en algunos sitios que esto se puede hacer, es decir, no permitir el uso de un script de manera ilegal, solo por la interfaz que se ha diseñado para al fin.

Ojalá alguien tenga una forma de hacer esto.

Saludos