Evitar url cuando uso iframe

oscarbt · #1 (**permalink**) 15/04/2013, 08:27

Buenas a todos,
estoy usando un iframe para mostrar todas mis paginas php, pero me gustaria saber si existe alguna forma de evitar (sin usar javascript), que el usuario intente ingresar a las paginas escribiendo la URL

Aca el codigo:

Código HTML:

Ver original<!DOCTYPE HTML>
<head>
    
</head>
 
<body>
<div class="menu" >
<ul class="nav">
<li>
<a href="main/pagina1.php" target="contenido">MI PAGINA<span class="flecha"></span></a>
</li>
<li>
<a href="main/pagina2.php" target="contenido">MI PAGINA 2<span class="flecha"></span></a>
</li>
</ul>
</div>
<div class="cuerpo">
<iframe name="contenido" frameborder="0"  style=" width: 101%; min-height:900px;  text-align: center;"  >
</div>
</body>
</html>

Como se puede ver, todas las paginas php se cargan en el iframe contenido..

entonces por ejemplo en la url solo se ve asi:

http://localhost/proyecto/main/

Pero un usuario podria colocar esto:

http://localhost/proyecto/main/pagina2.php

e ingresaria a la pagina....

Eso es lo que quiero evitar, pensaria yo que bloqueando la barra de navegacion pero no quiero hacerlo de esa forma

Existe alguna forma en php de no permitir esto ?

O que otro modo puedo utilizar similar a los iframe?...que no sea recargar capas con ajax ...

Agradezco me puedan dar alguna indicación, muchas gracias

pr0 · #2 (**permalink**) 15/04/2013, 08:31

Te recomiendo que empieces a ver como funciona el patrón de diseño MVC (Modelo-Vista-Controlador).

Te voy a dar una solución rápida y sencilla.

En tu index.php pones:

Código PHP:

Ver originaldefine('AUTHORIZE_ACCESS', true);

En el resto de páginas en la primera linea pones:

Código PHP:

Ver originalif (!defined('AUTHORIZE_ACCESS')) exit('Acceso directo no permitido');

Con esto consigues que si el usuario no entra por la página index.php no podrá visualizar la siguiente página, pero como ya te digo para eso debes crear un nuevo index.php desde el cual debes cargar cada una de las páginas a las que quieres prohibir el acceso directo desde url.

index.php

Código PHP:

Ver originaldefine('AUTHORIZE_ACCESS', true);
 
$page = $_GET['pag'].'.php';
 
if(file_exists($page)){
    include $page;
}else{
    include "index.php";
}

De esta manera los enlaces a tus páginas deben ser con el siguiente formato:

Código HTML:

Ver original<a href="main/index.php?pag=pagina1" target="contenido">MI PAGINA<span class="flecha"></span></a>

Espero que se entienda la explicación.

Un saludo.

oscarbt · #3 (**permalink**) 15/04/2013, 08:51

Ok, te explico como lo tengo yo, porque lo del nuevo index es lo que no se donde colocarlo..
Tengo un primer index en mi carpeta principal
Proyecto/index.php

En este index es donde esta la pagina de logueo que me lleva al archivo login.php

En login.php tengo esto:

Código PHP:

Ver original<?php
require("conexion.php");
include("class.xss.php");
$db = conectar();
$user=$_POST['user']; 
$pass=$_POST['password'];
 
$sql="SELECT * FROM usuarios WHERE COD_USU=? AND PAS_USU=?";
$result = $db->prepare($sql);
 
$result->execute(array($user, sha1($pass)));
$numfilas = $result->rowCount();
if($numfilas==0)
header("Location: index.php?l_error=".RandomString(50,TRUE,TRUE,TRUE).""); 
 
else
{
  session_start();
  $_SESSION["login"] = $user; 
  header("Expires: Tue, 01 Jul 2001 06:00:00 GMT");
  header("Last-Modified: " . gmdate("D, d M Y H:i:s") . " GMT");
  header("Cache-Control: no-store, no-cache, must-revalidate");
  header("Cache-Control: post-check=0, pre-check=0", false);
  header("Pragma: no-cache");
  header("Location: main");  
}  
?>

Si el usuario si existe me lleva a la carpeta main, donde tengo otro index
Ese nuevo index tiene lo siguiente:

Código PHP:

Ver original<?php 
require("../seguridad.php"); 
?>
<!DOCTYPE HTML>
<head>
    <meta http-equiv="content-type" content="text/html" />
    <meta name="author" content="www.intercambiosvirtuales.org" />
    <title>Sofware - Iniciar sesion</title>
    <link rel="stylesheet" href="../css/estilos.css" type="text/css" media="screen" />
    <link rel="stylesheet" href="../css/estilo_menu.css" type="text/css" media="screen" />
</head>
 
<body>
 
<div class="elemento"></div>
 
 
<div class="menu" >
<?php
include("../menu.php");
$menu=new Menu_Principal();
$menu->menu($user, false);
?>
 
</div>
<div class="cuerpo">
<iframe name="contenido" frameborder="0"  style=" width: 101%; min-height:900px;  text-align: center;"  >
</div>
</body>
</html>

Y es ahi donde empiezo a cargar a partir del menu, los archivos en el iframe

Entonces viene mi pregunta, eso del nuevo index, podria incluirlo en el index q tengo dentro de mi carpeta main?... o en donde deberia colocarlo ?

pr0 · #4 (**permalink**) 15/04/2013, 08:55

Pues el nuevo index lo metes en main y tu actual index lo llamas por ejemplo INICIO de manera que quedaría asi:

Código PHP:

Ver originaldefine('AUTHORIZE_ACCESS', true);
$page = $_GET['pag'].'.php';
 
if(file_exists($page)){
    include $page;
}else{
    include "index.php?pag=inicio";
}

oscarbt · #5 (**permalink**) 15/04/2013, 08:58

y ese index lo incluyo en cada archivo y listo ???

pr0 · #6 (**permalink**) 15/04/2013, 09:13

¿Como?

creo que no has entendido el funcionamiento. El index.php no tienes que incluirlo en ninguna parte, el usuario hace uso de ese index.php como puerta de entrada al resto de páginas.

http://www.dominio.com/login.php -> una vez logeado -> http://www.dominio.com/main/index.php (el mio)

y desde ese index.php ya vas cargando la página que te soliciten con los links index.php?pag=la_pagina_que_sea

oscarbt · #7 (**permalink**) 15/04/2013, 10:23

mmm sii, etaba confundido pero listo ya me funciono bien !..Muchas gracias

oscarbt · #8 (**permalink**) 15/04/2013, 14:49

Que pena la molestia pero tengo un ultimo problema.
Resulta que estoy usando una funcion javascript para pasar parametros por GET con jquery a traves de .load

Aca la funcion:

Código Javascript:

Ver originalfunction jquery_pasa_camp(archivo, div, ncamp, nvar, vvar, css_div){
    var vncamp="";
    var cadena="";
    var amper="";
  
    if(ncamp!="")
    ncamp = ncamp.split("@");
    
    if(nvar!="")
    nvar = nvar.split("@");
    if(vvar!="")
    vvar = vvar.split("@");
    if(ncamp!="")
    for (var i=0;i<ncamp.length;i++){
        if($('#'+ncamp[i]).length){//COMPRUEBO SI EXISTE EL ELEMENTO
            if($('#'+ncamp[i]).get(0).type=="radio" || $('#'+ncamp[i]).get(0).type=="checkbox"){//VALIDO SI EL CAMPO ES TIPO RADIO O CHECKBOX
                vncamp = booltoint(document.getElementById(ncamp[i]).checked);
            }else{
                
                vncamp = document.getElementById(ncamp[i]).value;
                
            }   
            if(i==0)
                amper="";
            else
                amper="&";
              cadena = cadena+amper+ncamp[i]+"="+encodeURIComponent(vncamp);
        }
    }
    if(nvar!="")
    for (var i=0;i<nvar.length;i++){
        if(ncamp.length==0  && i==0) 
            amper="";
        else
            amper="&";
        cadena = cadena+amper+nvar[i]+"="+encodeURIComponent(vvar[i]);
    }
    if(css_div==1)
    {
      $("#"+div).css({
   "background-color": "white",
   "border": "white",
   "color": "white"
  
}) 
 
  }
   $("#"+div).hide();
    $("#"+div).fadeIn(2000).load(archivo+".php?"+cadena);
}

Y la uso asi:

archivo usuarios.php

Código PHP:

Ver original<?php
if (!defined('AUTHORIZE_ACCESS')) 
{
    include "page-no-found.php";
    exit('Acceso directo no permitido');
}
require("../seguridad.php");
require("../conexion.php");
if( ( isset($_POST['op'])) or (isset($_GET['op'])) )
{  
  if($op]==1)
 { 
    echo "aca llega";
 }
 
}
else
{
?>
<input type="text" id="cod_usu_reg" size="42" onblur="jquery_pasa_camp('usuarios', 'validate_user', 'cod_usu_reg', 'op', '1', '0')"   />
<label id="validate_user"  class="jquery_validate"></label>
<?php
}

Como se puede ver, en el onblur llamo la funcion y voy a op=1, por GET, pero cuando llego alla me muestra "Acceso directo no permitido", y lo mismo me pasa si uso ajax (post)

Como podria solucionar esto ??..
Agradezco me puedas ayudar !!

pr0 · #9 (**permalink**) 15/04/2013, 17:29

Hola oscarbt,

pues es muy sencillo. Cuando haces un LOAD o usas AJAX, estas haciendo una petición de una página pero en realidad no estás navegando en ella por lo tanto la constante AUTHORIZE_ACCESS no está definida y como resultado te deniega el acceso.

Tienes que tener clara una cosa, tu entras al sistema a través de INDEX.PHP donde defines la variable AUTHORIZE_ACCESS y por eso puedes seguir navegando por el resto de páginas que "cuelgan" de index.php, pero si intentas acceder a una página protegida de forma directa (ya sea ajax o load) como no tienes definida la variable AUTHORIZE_ACCESS pues te prohibe el paso.

Espero que lo hayas entendido. Solución? pues las páginas que sean para llamadas AJAX o LOAD metelas en un directorio que se llame AJAX y dentro colocas un fichero .htaccess y dentro metes la linea Deny from all.

Un saludo.

oscarbt · #10 (**permalink**) 16/04/2013, 08:14

Hola pr0, bueno la verdad hice lo que tu me dijiste pero aun persiste el problema
Te cuento como tengo todo, no se si sea por la estructura q manejo o q
Tengo la carpetra principal que se llama proyecto, dentro de proyecto tengo el primer index donde se loguea el usuario, ademas una carpeta que se llama main y dentro de main una que se llama interfaces (en interfaces tengo el archivo .htaccess, cuyo nombre es .htaccess, ese archivo solo tiene la siguiente linea: Deny from all)
Cuando el usuario se loguea y existe es redireccionado a la carpeta main

Código PHP:

Ver originalheader("Location: main/inicio.php");

alli va al archivo inicio.php, donde cargo el menu y donde tengo el iframe:

Código PHP:

Ver original<?php 
//if (!defined('AUTHORIZE_ACCESS')) exit('Acceso directo no permitido');
define('AUTHORIZE_ACCESS', true);
require("../seguridad.php"); 
?>
<div class="menu" >
<?php
include("../menu.php");
$menu=new Menu_Principal();
$menu->menu($user, false);
?>
 
</div>
<div class="cuerpo">
<iframe name="contenido" frameborder="0"  style=" width: 101%; min-height:900px;  text-align: center;"  >
</div>
</body>
</html>

El menu tiene estructura como la siguiente:

Código PHP:

Ver original<?php
 ?>
<ul class="nav">
<li>
<a href="index.php?pag=interfaces/usuarios"><span class="flecha">►</span>
</a>
</li>         
</ul>
<?php
?>

Entonces en el index.php que esta dentro de main tengo lo siguiente:

Código PHP:

Ver original<?php
define('AUTHORIZE_ACCESS', true);
$page = $_GET['pag'].".php";
if(file_exists($page))
    include $page;
else
    include "page-no-found.php";
?>

y dentro de la carpeta interfaces tengo el archivo usuarios.php, que es el que no me deja pasar parametros por POST ni GET

ese archivo tiene lo siguiente:

Código PHP:

Ver original<?php
if (!defined('AUTHORIZE_ACCESS')) 
 exit('Acceso directo no permitido');
require("../seguridad.php");
include("../class.sigca.php");
require("../conexion.php");
 
if( ( isset($_POST['op'])) or (isset($_GET['op'])) )
{ 
   if($op==1)
    {
        echo "llega a la pcion 1";
     }
 
}
else
{
?>
<div class="columna_izquierda">Codigo de usuario</div>
<div class="columna_derecha">
<input type="text" id="cod_usu_reg" size="42" onblur="jquery_pasa_camp('usuarios', 'validate_user', 'cod_usu_reg', 'op', '1', '0')"  />
<label id="validate_user"  class="jquery_validate"></label>
<?php
 
}
 
?>

En ese onblur es donde me dice Acceso directo no permitido....

Espero me puedas ayudar...Muchas gracias

pr0 · #11 (**permalink**) 18/04/2013, 01:52

Hola,

vamos a ver, sin ver el codigo de ese onblur no puedo decirte pero estoy practicamente seguro de que te está pasando lo de siempre.

A ver si me explico de una vez por todas:

NO puedes ir a una página sin pasar previamente por el index.php que DEFINE la constante AUTHORIZED_ACCESS. Esto es de LOGICA puesto que si no pasas por esa pagina pues la constante no existe y al llegar a una página que te la pida pues te va a denegar el acceso.

TODOS TUS ENLACES tienen que ser del estilo index.php?pag=la_pagina_que_sea, si intentas hacer un enlace tipo www.dominio.com/main/interfaces/usuarios.php te va a denegar el acceso por no haber pasado por la puerta de entrada que es index.php!

Se ha entendido ahora?

P.D: ¿por qué sigues utilizando un iframe si ya no te hace falta?

oscarbt · #12 (**permalink**) 18/04/2013, 07:29

El onblur va a la funcion jquery_pasa_camp_var

Mas arriba esta el codigo de esa funcion, al ejecutarse esta funcion se va al misma archivo (usuarios.php), a la opcion 1, y llega por GET, lo del iframe lo tengo para que la URL siempre sea la misma, es por eso que uso el iframe.....
Y claro te entiendo bien lo que me dices....y estoy haciendo exactamene lo que tu me explicas pero nada.....

pr0 · #13 (**permalink**) 18/04/2013, 07:48

Si te dice acceso denegado es porque no lo estás haciendo correctamente, es imposible si entras siempre por index.php

La unica manera de saberlo es quitando el iframe para ver en que URL estas navegando realmente pero estoy practicamente seguro de que no lo estas haciendo a través de index.php sino que estás navegando en usuarios.php directamente.

Prueba a quitar el if (!defined('AUTHORIZE_ACCESS')) exit('Acceso directo no permitido'); de la página usuarios.php y pon esta linea para que muestre que url estas utilizando

Código PHP:

Ver originalecho $_SERVER["REQUEST_URI"];

Tal vez al ser una llamada AJAX el define no tiene efecto puesto que no estas cargando de forma directa la pagina usuarios.php y por tanto el define no sirve. Prueba a:

- Las paginas que cargues a través de AJAX no les pongas la comprobación y simplemente metelas en una carpeta ajax dentro del directorio protegido con el HTACCESS.
- Puesto que ya estan protegidas por el HTACCESS ya no es necesario protegerlas mediante codigo PHP.

oscarbt · #14 (**permalink**) 18/04/2013, 08:08

Listo con esa indicacion por fiinnn solucione el problema.......Muchas pero muchas gracias !!!