cambios en la URL por el usuario, peta la bbdd

xisclet · #1 (**permalink**) 19/07/2005, 08:03

hola,

estoy haciendo una web en asp, y tengo una bbdd que tiene un par de tablas, el problema es que los identificadores, las claves de la tabla son integers, i cuando un usuario me pone en la barra de navegacion una letra pues peta todo.
es decir por ejemplo, lo correcto es

www.miweb.com/consulta.asp?id=9
i en esta pagina muestro los resultados,

pero si el usuario cambia este 9 por AAA
es decir
www.miweb.com/consulta.asp?id=AAA
peta

como puedo solucionarlo???

graciaaas

Myakire · #2 (**permalink**) 19/07/2005, 08:09

Primero: El usuario no debería saber que le estas enviando parámetros a la página (usa POST en vez de GET)

Segundo: Deberias hacer una validación antes de realizar la consulta para evitar este tipo de errores

Tercero: Deberias hacer otra validación para asegurarte que el usuario no ingrese los parámetros por URL, es decir, debes asegurarte que sea un usuario valido y que venga de una página válida

Cuarto: Saludos

xisclet · #3 (**permalink**) 19/07/2005, 08:15

como???

si lo hace el por la url, como lo controlo???

mariano_donati · #4 (**permalink**) 19/07/2005, 08:15

Con una sentencia condicional puede ser:

Código:

 
if Typename(Request.QueryString("id")) = "Integer" then
'haces lo que sea con la variable 
else
'haces lo que sea cuando la variable no sea de tipo integer
end if

También hay funciones mucho más complejas, porque no solo es cuando te ingresan un tipo de valor qeu no corresponde con el que tenés en la base de datos, sino que también tenés que evitar el SQL Injection. Esa sentencia condicional sería solamente una mínima parte de una función de validación más grande y compleja.
Espero que te haya servido de algo.
Saludos!.

xisclet · #5 (**permalink**) 19/07/2005, 08:29

ponga letra o ponga numero siempre me entra en el else

porque???

Myakire · #6 (**permalink**) 19/07/2005, 08:37

Alternativas:

1)
parametro = Request.Form("Id")
Solo toma un valor si ID viene de un formulario POST y no URL o por GET

2)
parametro = Request("Id")
if IsNumeric(parametro) Then
Response.Write "Valor Numerico"
End If
Solo imprime el texto si el valor (que puede ser POST o GET) es numérico

3) Preguntar con alguna variable se servidor si viene el usuario de la página X

4) Preguntar por alguna variable de session que se creó en la página previa

etc

Saludos

xisclet · #7 (**permalink**) 19/07/2005, 08:48

yujuuu

esto parece que funciona
luego te digo algo

GRaciAAAS

mariano_donati · #8 (**permalink**) 19/07/2005, 09:09

La verdad que no se, yo lo probé con este ejemplo y a mi me funciona:

valor = 23892

if TypeName(valor) = "Integer" then
Response.Write("La variable valor es Integer")
else
Response.Write("Como se que es integer, entonces no pongo nada interesante acá)
end if

Con eso me funciona bien a mi, de todas formas, me parece que las alternativas que te dio Myakire son mucho mejor.
Saludos!.

El_Metallick · #9 (**permalink**) 19/07/2005, 10:32

si mal no recuerdo en la biblioteca de funcionoes hay una funcion para impedir que el usuario manipule la direccion, es decir que si el parametro que se pasa por URL no fue generado por una determinada pagina no vale..... de todas maneras date una vuelta por la biblioteca.... hay muchas funciones muy utiles.... saludos

orharo2003 · #10 (**permalink**) 19/07/2005, 10:36

Hay varias alternativas que se te han mencionado, adecualas segun tus necesidades, por ejemplo yo en mi sistema al generarse una pasrtida en las facturas o remisiones envio x url ciertos valores, pero los hago a trevés de una ventana oculta, sin que el cliente se de cuenta.

Es cosa de ingenio .

mariano_donati · #11 (**permalink**) 19/07/2005, 11:04

Otra cosa que se me ocurre ahora que se podría hacer (nunca lo he intentado, tampoco se si podrá funcionar), es tener un form con varios campos hidden (según sea necesario). Por ejemplo, si necesitas pasar un solo valor por la URL, digamos un Id, entonces ese formulario tendrá un solo campo hidden. Al hacer click en el link, se llamaría a una función javascript que establezca el valor de ese campo hidden según el Id del campo que fue clickeado. El action del form sería la página que pondrías comunmente en el link, y así se enviaría los datos por POST. Y haciendo Request.Form("id"), te aseguras que la variable sea POST y no GET.
Lo que digo es algo así:

Código:

 
<script> 
function SetVar(param_Value){
   document.MyForm.hid_Id.value = param_Value
   document.MyForm.submit()
}
</script>
<html>
<body>
	<form method="post" action="una_pagina.asp" name="MyForm">
		<input type="hidden" name="hid_Id">
	</form>
 
	//los Links
 
	<a href="#" OnClick="SetVar(3289)">
	<a href="#" OnClick="SetVar(2091)">
	<a href="#" OnClick="SetVar(2390)">
	...

Luego lo pruebo y comento si funciona o no.
Saludos!.

Neuron_376 · #12 (**permalink**) 19/07/2005, 11:28

Tanto post como get son igual de peligrosos cuando alguien quiere hacer daño, hagas lo que hagas, sea post o get, eso es un peligro constante, y de cualquier forma en que lo hagas es peligroso y te puede traer errores.

Lo que mencionas xisclet, es un error claro de validación, ahí esta la clave, como asegurarnos de que estamos recibiendo algo valido, ahi es donde tienes que trabajar mas fuerte.

Y bien, lo que mencionas y en tu caso específico, simplemente validar que recibiste un numero seria mas que suficiente, y la mejor forma es como Myakire apuntaba.

Por otra parte para pasar los valores, seria en este orden lo recomendable:

1. session --> Cuando estas en area de miembros
2. post
3. get

Pero cada uno tiene sus usos o sus casos donde esta bien aplicarlo, en este caso de la consulta creo que puedes aplicar post sin problemas.

Suerte!!

AlZuwaga · #13 (**permalink**) 19/07/2005, 12:01

Para mi lo más efectivo es usar request.servervariables("http_referer")

si viene nula, es muy probable que el usuario haya manipulado la url.
si no viene nula, puede haber hecho una copia local de la página y, aunque los valores vengan por post, joderte la aplicación.

Entonces verificás que request.servervariables("http_referer") sea igual (con dominio y todo) a la página de la que estás esperando los valores.

El_Metallick · #14 (**permalink**) 19/07/2005, 12:36

sigo inisitiendo que en la biblioteca hay una funcion para eso:

Cita:

Iniciado por Muzztein

Siguiendo con las funciones de seguridad.

Esta funcion compara la procedencia del usuario contra la procedencia que el programador especificó para que determinado script se pudiera ejecutar de manera segura.

Util para asegurarse, por ejemplo ,que una pagina del tipo eliminar.asp?id=12 sea accionada de su correcto formulario y no de manera directa, impidiendo así a un usuario mal intensionado hacer acciones que no esta autorizado a hacer.

Código:

function checa_procedencia(procedencia_autorizada,dominio_autorizado)

    aux = Request.ServerVariables("HTTP_REFERER")

    if len(aux) = 0 or aux = "" then 
        checa_procedencia = false
        exit function
    end if

    arreglo             = split(aux,"/")
    dominio_real     = arreglo(2)
    procedencia_real = arreglo(ubound(arreglo))

    if lcase(procedencia_real) = lcase(procedencia_autorizada) and lcase(dominio_real) = lcase(dominio_autorizado) then
        checa_procedencia = true
    else
        checa_procedencia = false
    end if
end function

Donde procedencia_autorizada es el nombre del archivo ASP que DEBE invocar a nuestro script a ejecutar, y donde dominio_autorizado es el dominio o nombre de la web de donde el script se esta ejecutando. ej : "www.misitio.com"

Modo de uso

Código:

if checa_procedencia("1.asp","localhost") = true then 
    escribe "eres bienvenido" 
else
    escribe "no eres binevenido"
end if

Consumala a discrecion

Saludos

dobled · #15 (**permalink**) 19/07/2005, 12:49

nada que ver con el tema pero que es "peta"?

AlZuwaga · #16 (**permalink**) 19/07/2005, 14:19

Como que "se jode" o en éste caso "da errores".
Creo que es eso, igual lo debería confirmar un español ;)

Aibarra.net · #17 (**permalink**) 20/07/2005, 01:31

Buenas,

pues si, "petar" es dar errores, fallar. Tiene otros usos y significados, algunos de los cuales no podría repetirlos aquí por si hubiera alguna señorita presente :)

En cuanto a la conveniencia de usar post o get, no siempre es mejor el método post. Por ejemplo, cuando queremos dar al usuario la posibilidad de que guarde páginas en favoritos. Lo mejor es hacer una buena validación antes y después de enviar el formulario. Alguna de ellas del lado del servidor (la segunda, más bien)

Por cierto, El_Metallik, sabes cual es esa función? A mi no me suena ninguna en ASP. Vale, encontrado aquí. Básicamente comprueba que lo que viene por el querystring coincide con lo que viene por el referrer.

mariano_donati · #18 (**permalink**) 20/07/2005, 05:22

El código que puse arriba funciona. Creen que puede ser una alternativa valida hacer eso para que el usuario no pueda manipular los valores de las variables? que desventajas tiene siempre usar post?.
Saludos!.

Aibarra.net · #19 (**permalink**) 20/07/2005, 09:30

Buenas,

no hay mucha diferencia entre usar GET y POST. GET se usa generalmente para obtener algo del servidor (búsquedas, por ejemplo) y POST para enviarlo (datos de formulario, subida de ficheros, etc) El método POST permite mover más cantidad de datos, pero GET también suele ser suficiente para los usos normales (salvo la subida de ficheros) Y como comenté más arriba, si queremos que el usuario pueda guardar la página en favoritos, con la información que metió en el formulario, siempre se debe usar GET.