Ocultar variables de la url

danramglez · #1 (**permalink**) 09/10/2012, 13:34

Código PHP:

Ver original<html>
<head>
<title>index2</title>
<div id="mainDiv" style="height:95%; width:95%; border:5px solid blue; padding: 10px;">
<form action="prueba2.php" method="post">
<?php
    #Conectamos con MySQL
    $conexion = mysql_connect("localhost","root","")
    or die ("Fallo en el establecimiento de la conexión");
    mysql_select_db("ejemplo")
    or die("Error en la seleccion de la base de datos");    
    
    if (isset($_REQUEST['accion'])) 
        { 
            $accion = $_REQUEST['accion']; 
        }   
        else 
            { 
            $accion = 0; 
            }
        
    if (isset($_REQUEST['id'])) 
        { 
        $id = $_REQUEST['id']; 
        } 
        else 
            { 
            $id = " ID"; 
            }
    
    if (isset($_REQUEST['cantidad'])) 
        { 
        $cantidad = $_REQUEST['cantidad']; 
        } 
        else 
            { 
            $cantidad = 0; 
            }
 
    for ($i=0; $i<=$cantidad; $i++)
        {
        $varnombre = "mytext".$i;
    
        if (isset($_REQUEST[$varnombre])) 
        { 
            $nombre = $_REQUEST[$varnombre]; 
        }   
            else 
                { 
                $nombre = ""; 
                }
        $varemail= "myemail".$i;
    
    if (isset($_REQUEST[$varemail])) 
        { 
        $email = $_REQUEST[$varemail]; 
        } 
            else 
                { 
                $email = ""; 
                }
    
    $varprecio= "myprecio".$i;
    
    if (isset($_REQUEST[$varprecio])) 
        { 
        $precio = $_REQUEST[$varprecio]; 
        } 
            else 
                { 
                $precio = ""; 
                }
                
    insertar($nombre,$email,$precio);
    }
    #funcion inserta
    function insertar($nombre,$email,$precio)
    { 
        if (empty($nombre))
        { 
            //echo "<script>alert(\"Nombre esta vacio\");</script>"; 
        }
        else
        {
            $sql= "insert into triunfo (nombre,email,precio) values ('$nombre','$email','$precio')";
            $cadena = mysql_query ($sql);   
        }
    } 
    
    function consultas()
    { 
            $ordenarid= "order by";
            $asciende="ASC";
            
            echo " <table border =1 align= center>";
            echo "<tr>";
            echo "<td><a style=\"color:green;\" href=\"prueba2.php?&ac=".$ordenarid."Id".$asciende."\">ID</a></td>";
            echo "<td><a style=\"color:green;\" href=\"prueba2.php?ac=\">Nombre </a></td>";
            echo "<td><a style=\"color:green;\" href=\"prueba2.php?ac=\">Email </a></td>";
            echo "<td><a style=\"color:green;\" href=\"prueba2.php?ac=\">Precio</a></td>";
            echo "<td> Modificar</td>";
            echo "<td> Elimina</td>";
            echo "</tr>";
        
            if (isset($_REQUEST['ac'])) 
            { 
            $b = $_REQUEST['ac']; 
            } 
            else 
            { 
            $b = ""; 
            }
    //Carga por primera vez.
            $result = mysql_query ("select * from triunfo ".$b)
            or die("Error en la consulta SQL");
    
            while( $row = mysql_fetch_array ( $result )) 
        {
            echo "<tr bgcolor='#FBF3E4'>";
            echo "<td>".$row[0]."</td>";
            echo "<td>".$row[1]."</td>";
            echo "<td>".$row[2]."</td>";
            echo "<td>".$row[3]."</td>";
            echo "<td><a style=\"color:blue;\" href=\"modifica.php?id=".$row[0]."&nombre=".$row[1]."&email=".$row[2].".&precio=".$row[3]."\"> modificar</a></td>";
            echo "<td><a style=\"color:blue;\" href=\"eliminar.php?id=".$row[0]."\">Elimina </a></td>"; 
            echo "</tr>"; 
        }   
            echo "<td><a style=\"color:red;\" href=\"masivo.php\">Elimina Masivo </a></td>"; 
            echo "<td><a style=\"color:red;\" href=\"prueba2.php?sum=SUM(PRECIO)&sumaar=1\">Sumar</a></td>"; 
            echo "</table>";
 
        if (isset($_REQUEST['sum'])) 
        { 
            $c = $_REQUEST['sum']; 
        } 
            else 
        { 
            $c = ""; 
        }
        
        if (isset($_REQUEST['sumaar'])) 
        { 
            $sumfun = $_REQUEST['sumaar']; 
        } 
            else 
        { 
            $sumfun =0; 
        }
        
        if($sumfun==1)
        {
            $sql="SELECT ".$c." FROM triunfo ";
            $datos=mysql_query($sql);
            $rs=mysql_fetch_array($datos);
            echo "EL TOTAL ES=$" .$rs["SUM(PRECIO)"];
        }
    }
    
        if ($accion==0)
        {
            consultas();    
        }
    
?>
<td><a style="color:purpule" href="prueba.php?">Agregar Nuevo Campo </a></td>
</form> 
</head>
</html>

HOLA QUISIERA SABER IS ME PUEDEN AYUDAR, QUIERO QUE AL MOMENTO DE EJECUTAR LA ACCION, NO ME POONGA LOS PARAMETROS EN LA URL, YA LE CAMBIE AL METODO POST Y AUN ASI NO. O CCOMO LE PUEDO PONER SEGURIDAD
ALGUIEN ME PUEDE AYUDAR, MUCHISIMAS GRACIAS,

maycolalvarez · #2 (**permalink**) 09/10/2012, 13:51

1 - consulte las políticas del foro, NO se debe escribir todo en mayúsculas

2 - en ningún momento ha cambiado a POST, si no se ve formulario <form> alguno

3 - usar $_REQUEST está desaconsejado, use $_POST o $_GET según el caso

danramglez · #3 (**permalink**) 09/10/2012, 13:54

Porque en mayusculas no? no sabia lo lamento mucho

maycolalvarez · #4 (**permalink**) 09/10/2012, 13:59

Cita:

Iniciado por danramglez

Porque en mayusculas no? no sabia lo lamento mucho

se debe a que se asocia a como si el usuario se expresa de forma alterada (grita, reclama) a falta de una lectura de lenguaje corporal, tal cual su uso es para dar importancia a las palabras, por el cual se puede malinterpretar.

claro, hay excepciones, usuarios sordomudos, invidentes con teclados u software especial, pero de igual forma es dificil percatarse de sus discapacidades.

no es nada personal, solo téngalo en cuenta

danramglez · #5 (**permalink**) 09/10/2012, 14:02

Cita:

Iniciado por maycolalvarez

se debe a que se asocia a como si el usuario se expresa de forma alterada (grita, reclama) a falta de una lectura de lenguaje corporal, tal cual su uso es para dar importancia a las palabras, por el cual se puede malinterpretar.

claro, hay excepciones, usuarios sordomudos, invidentes con teclados u software especial, pero de igual forma es dificil percatarse de sus discapacidades.

no es nada personal, solo téngalo en cuenta

ahhh ok ya entendi nuevamente una disculpa, respecto a mi pregunta ya le cambie a post y no me funciona si ahi alguna forma de que osea esta es mu url

http://localhost/Triunfo/prueba2.php?accion=order by precio ASC

y quiero que me aparesca asi

http://localhost/Triunfo/prueba2.php?accion=

si se puede ocultar las variables que estoy pasando '????

maycolalvarez · #6 (**permalink**) 09/10/2012, 14:05

no puedes hacer pasar GET por POST, la forma de enviar POST es con un <form> oculto y javascript, si colocas las variables directamente en la URL irremediablemente será GET.

danramglez · #7 (**permalink**) 09/10/2012, 14:29

Y disculpa mi ignorancia, como puedo crear el form oculto???

gracias

echo_ · #8 (**permalink**) 20/10/2012, 20:37

Es bastante facil..

Código PHP:

  <html> 

<head> 

   <title>Enviar form con js</title> 

<script> 

function enviar_form(){ 

   document.f1.submit() 

} 

</script> 

</head> 

 
<body> 

<form action="index.php" method=post name="f1"> 

<input type="hidden" name="input1" value="valor1"> 

<input type="hidden" name="input2" value="valor2"> 

</form> 

 
<a href="javascript:enviar_form()">Hacer click para enviar formulario</a> 

</body> 

</html>

Nemutagk · #9 (**permalink**) 21/10/2012, 10:31

El problema definitivamente no es pasar o no por GET las variables, es lo que estas pretendiendo pasar, JAMAS debes darle a entender que vas a pasar parámetros para una sentencia SQL ya sea POST o GET, para tal caso solo indica en que orden!

HTML

Código HTML:

Ver original<a href="archivo.php?order=asc">Ascendente</a>

PHP

Código PHP:

Ver original$SQL = 'select * from mitabla order by celda ';
$SQL .= ($_GET['order'] == 'asc') ? 'asc' : 'desc';
 
mysql_query($SQL,$conexion) or die(mysql_error());

Si piensas usar directamente GET en la variable primero debes "sanear" la variable para evitar SQL injection y demás cosas desagradables, lo que pretendes hacer usando form ocultos es igual que si lo usaras via GET, solo ocultarias el valor de los "curiosos", por lo tanto es un tremendo agujero de seguridad....