Ocultar rutas php

joacalfe · #1 (**permalink**) 26/07/2002, 04:37

Hola
Estoy realizando la web de un sitio (servidor Apache 1.3.23 y PHP 4.0.6)en el que hay una sección a la que se accede tras una autentificacion. Si por ejemplo tras introducir login y password quiero que accedan a "principal.php" me encuentro con que dicha autentificación no sirve de nada pues si escribes http://www.misitio.com/principal.php puedes entrar perfectamente.
¿Qué debo hacer para restringir el paso? ¿Tengo que hacer comprobaciones de contraseña y usuario en todos los archivos restringidos pasandolo como variables? ¿No se podría ocultar la ruta de acceso del archivo que aparece en la barra de estado y de direcciones del explorador?
Espero sus respuestas. Muchas gracias de antemano.

romina · #2 (**permalink**) 26/07/2002, 04:40

una opcion es validar la direccion de la cual acceden sino es desde un link de tu web no tienen acceso

romina · #3 (**permalink**) 26/07/2002, 05:09

usas
$dedonde=getenv("HTTP_REFERER");
esto te va a dar en la variable $dedonde
la direccion del link de donde esta accediendo o nada si no viende de un link.
tenes que compararla con la direccion desde donde logueas y sino son lo redireccionas a otra pagina.
Esa es una sola de las formas pero aca los chicos seguro te pasan unas cuantas mas

romina · #4 (**permalink**) 26/07/2002, 05:11

Disculpame que te conteste asi nomas pero la verdad es que me estoy yendo

Cluster · #5 (**permalink**) 26/07/2002, 10:16

Esa solucion .. Romina . como q no es muy segura no? ..

Te recomiendo que uses sessiones para el seguimiento de tu usuario autentificado en todas las paginas que tenga acceso ...

En la session activa guardarias el nombre del usuario por lo menos .. y en todas tus paginas protegidas tan solo chekea si esta creada esa varible que define el nombre del usuario .. Si la sesion no existe (bien porque salio de la zona protegida por cerrar el navegador .. o por salir por algun "log out" ..) tu condicion se encargará de no dejarle ver el contenido y tal vez redireccionarlo a una pagina tipo "login" (identificate) ..

Puedes ver un sistema asi, ya implementado .. en castellano y con el codigo ampliamente comentado en:
<a href='ir.asp?http://phpcluster.host.sk/scripts/autentificator/' target='_blank'>http://phpcluster.host.sk/scripts/autent...</a>
(dispones de gestion de usuarios basica con diferentes niveles de acceso)

Un saludo,

dayer · #6 (**permalink**) 04/03/2004, 05:45

Este post es de hace tiempo, pero entonces resulta que no hay forma de que si se está viando la dirección p.e.-> http://www.vayadomingas.com/dayer/we...p?mod=seccion3
en la barra de direcciones solo ponga http://www.vayadomingas.com/dayer/web no?
Bueno de todas formas lo de un sistema de identificacion puede que sea suficiente :D

Cluster · #7 (**permalink**) 04/03/2004, 07:11

mm dayer .. lo que propones más bien es tema de "reescribir" el URL como describe las técnicas de este tutorial:

http://www.zonaphp.com/articulo30.php

Un saludo,