Enlaces
Esta en:

documentos
Arriba
Bind-9
Bind-8
Ad+bind
Dhcp
Kdephp
Shell
Trucos
Php
Documentos
Cuestiones php
Fedora
Legal
W2000 xp
COMOS
Errores dns

Re: [PHP-ES] riesgos al usar variables pasadas por GET/POST

Write haof XML files: Grenville Tryon Pera <gtryonp_at_hotmail.com>
Fecha: Sat, 14 May 2005 18:31:11 +0000

Mi forma de hacerlo es poner al principio de los programas post-login:

if(!isset($_SESSION[id_operador]) die;

Saludos,

Grenville Tryon

La primera revista php & MYSQL en el Peru
http://www.phpperu.com
webmaster_at_phpperu.com

>From: "Pablo E. Siciliano" <psiciliano_at_puentenet.com>
>To: "roberto german puentes diaz" <puentesdiaz_at_gmail.com>
>CC: <php-es_at_lists. php.net>
>Subject: Re: [PHP-ES] riesgos al usar variables pasadas por GET/POST
>Date: Fri, 13 May 2005 18:18:54 -0300
>
>Ahora creo que te entendí. El asunto esta en que cuando haces el delete,
>tenés que poner el id de operador como parte de la clausula.
>
>Nunca hacés algo como:
>DELETE FROM nota WHERE id=$idnota.
>
>Si tu sistema incluye permisos, tenés que incluir esos permisos en las
>consultas, te quedaría algo como:
>
>DELETE FROM nota WHERE id=$idnota AND id_operador='$_SESSION[id_operador]'
>
>De esa manera, por mas que al entrar a otra página le llegue un id de
>operador que no corresponde con el de la nota, no va a poder borrar nunca
>una nota que no es de el. Eso es independiente de si un usuario puede ver o
>no las notas de los otros.
>
>----- Original Message -----
>From: "roberto german puentes diaz" <puentesdiaz_at_gmail.com>
>To: "Lista PHP" <php-es_at_lists. php.net>
>Cc: "Leonel Quinteros" <leonelq_at_ospsip.org.ar>
>Sent: Friday, May 13, 2005 4:17 PM
>Subject: Re: [PHP-ES] riesgos al usar variables pasadas por GET/POST
>
>
>El tema de hacer una pagina aparte modificada. Tiene sentido si como un
>usuario=rober
>quiero editar o borrar noticias del usuario=german, por ejemplo la noticia
>con ID=20 (que la creo German)
>Yo Rober, me logeo al sistema y solo me mostraria mis noticias, ya que hace
>una comprobacion para mostrarlas. Pero al hacer click en el enlace borrar
>implicaria pasar por URL abm.php?accion=borrar&id=XX
>siendo XX un id de una noticia de rober. Hasta ahi todo ok.
>Pero si teniendo abierta mi session en una ventana, levanto en otra ventana
>un pagina con un formulario, que tenga input como accion=borrar e id=20
>(siendo 20 propiedad de german) al hacer submit estaria borrando la noticia
>20 (que es de German)
>Por eso la necesidad de que abm.php al recibir los datos mediante form
>pueda
>saber si ese form viene de un php que sea del mismo server y no de mi
>maquina local....
>A eso me referia.
>Si se puede hacer esto ultimo, entonces no necesitaria hacer una
>comprobacion posterior en la pagina.php que recibe los datos
>
>Cualquier hash o string oculto o no, se podra leer en el HTML y utilizar en
>el form que tengo en mi maquina local....
>
>roberto
>
>
>
>----------------------------------------------------------------------------
>----
>
>
>No virus found in this incoming message.
>Checked by AVG Anti-Virus.
>Version: 7.0.308 / Virus Database: 266.11.9 - Release Date: 2005-05-12
>
>--
>PHP Spanish Localization Talk Mailing List (http://www.php.net/)
>To unsubscribe, visit: http://www.php.net/unsub.php
>

_________________________________________________________________
MSN Latino: el sitio MSN para los hispanos en EE.UU. http://latino.msn.com/

-- 
PHP Spanish Localization Talk Mailing List (http://www.php.net/)
To unsubscribe, visit: http://www.php.net/unsub.php
Nearby dom may 15 2005 - 00:24:26 CEST

Este archivo fue generado por hypermail 2.2.0 : mié nov 07 2007 - 20:55:33 CET


Página Principal
Google

Web
dns.bdat.net

Visita nuestro proveedor:
www.bdat.net

Publicidad:

Impresenteibols:Humor Jazz, música en vivo