Consulta con HTACCESS...!!!

webdesignsite · #1 (**permalink**) 04/12/2007, 17:06

Hola, tengo 2 archivos.php; el 1º es mensajes.html y el 2º enviar.php que procesa los datos del 1º, y a traves de .htaccess quiero que a enviar.php se acceda solo y únicamente a través del 1º mensajes.php, que el usuario no pueda acceder a enviar.php directamente, se entiende???, hay forma de hacerlo???

Gracias y Saludos!!!

Keysher · #2 (**permalink**) 04/12/2007, 17:29

Desde el htaccess ni idea... pero si se puede sería interesante.

Desde PHP si que se puede hacer, en enviar.php puedes mirar el referer de la página ($_SERVER['HTTP_REFERER']), para ver si es la que tú quieres.

webdesignsite · #3 (**permalink**) 04/12/2007, 17:46

Cita:

Iniciado por Keysher

Desde el htaccess ni idea... pero si se puede sería interesante.

Desde PHP si que se puede hacer, en enviar.php puedes mirar el referer de la página ($_SERVER['HTTP_REFERER']), para ver si es la que tú quieres.

Este metodo no es seguro para nada!!!

salu2.!

GatorV · #4 (**permalink**) 04/12/2007, 17:50

Tema trasladado a Apache.

Porfavor publica en los foros correctos.

kaninox · #5 (**permalink**) 04/12/2007, 17:58

se me ocurre guardar una variable con hidden y consultarla
la variable la podrias encriptar al ir a buscar...

me explico

formulario1.php
tus campos el boton submit y la variable hidden
<input type="hidden" name="oculto" value="ok">

en el segundo formulario
pones al comienzo

formulario2.php

Código PHP:

  $encrip = sha1("$_POST[oculto]");
$comprueba = sha1("ok");
if ($encrip != $comprueba)
{
header("Location: formulario1.php");
}
else
{
//mostramos la pagina de envio
}

asi si alguien entra directo a enviar.php o en mi caso formulario2.php lo envia devuelta y si te miran el fuente y tratan de enviar ok no lo aceptarapor que lo encripta

puedes para ocultar de mayor forma, un boton en flash con el campo...
o bien añadir md5 al sha1 base64 etc...

espero te sirva :D ya que con .htaccess no lo he hecho :P
te cuento si me sale algo....

webdesignsite · #6 (**permalink**) 04/12/2007, 18:08

Cita:

Iniciado por kaninox

se me ocurre guardar una variable con hidden y consultarla
la variable la podrias encriptar al ir a buscar...

me explico

formulario1.php
tus campos el boton submit y la variable hidden
<input type="hidden" name="oculto" value="ok">

en el segundo formulario
pones al comienzo

formulario2.php

Código PHP:

  $encrip = sha1("$_POST[oculto]");
$comprueba = sha1("ok");
if ($encrip != $comprueba)
{
header("Location: formulario1.php");
}
else
{
//mostramos la pagina de envio
}

asi si alguien entra directo a enviar.php o en mi caso formulario2.php lo envia devuelta y si te miran el fuente y tratan de enviar ok no lo aceptarapor que lo encripta

puedes para ocultar de mayor forma, un boton en flash con el campo...
o bien añadir md5 al sha1 base64 etc...

espero te sirva :D ya que con .htaccess no lo he hecho :P
te cuento si me sale algo....

Si esta bien lo que decis, pero no me convence del todo, preferiría hacerlo con htaccess.

Desde muchas gracias!!!

ferny · #7 (**permalink**) 05/12/2007, 09:47

El método que dice kaninox no es seguro, porque yo me creo otra página y meto la variable hidden, y no me detiene en ningún momento, o eso deduzco...

Con el .htaccess no sé si se puede. Yo sugeriría hacerlo con sesiones de PHP. Ahora mismo lo tengo un poco olvidado pero podría ser algo así:

Código PHP:

  // código a insertar en archivos.php
session_name("misesion");
session_start();
$_SESSION["ha_pasado_por_archivos_php"] = true;

Código PHP:

  // código a insertar en enviar.php
session_name("misesion");
session_start();
if ($_SESSION["ha_pasado_por_archivos_php"] == true) {
// codigo del archivo
} else {
die("Acceso prohibido");
}

webdesignsite · #8 (**permalink**) 05/12/2007, 10:38

Cita:

Iniciado por ferny

El método que dice kaninox no es seguro, porque yo me creo otra página y meto la variable hidden, y no me detiene en ningún momento, o eso deduzco...

Con el .htaccess no sé si se puede. Yo sugeriría hacerlo con sesiones de PHP. Ahora mismo lo tengo un poco olvidado pero podría ser algo así:

Código PHP:

  // código a insertar en archivos.php
session_name("misesion");
session_start();
$_SESSION["ha_pasado_por_archivos_php"] = true;

Código PHP:

  // código a insertar en enviar.php
session_name("misesion");
session_start();
if ($_SESSION["ha_pasado_por_archivos_php"] = true) {
// codigo del archivo
} else {
die("Acceso prohibido");
}

Si esta es una alternativa más fiable que la anterior, pero si alguien sabe como realizarlo con htaccess sería mucho mejor.

Gracias de antemano!!!

Keysher · #9 (**permalink**) 05/12/2007, 17:23

Por qué dices que comprobar la URL con el Referer es inseguro? hay alguna forma de falsear eso?

ferny · #10 (**permalink**) 06/12/2007, 02:42

Pues sí, haz una búsqueda por google y verás que se puede cambiar u ocultar el referer.

webdesignsite · #11 (**permalink**) 06/12/2007, 09:35

Alguna idea a mi consulta original???

Gracias y Saludos!!!