[SOLUCIONADO] Redirección con datos por POST pero sin formularios

DandyCC · #1 (**permalink**) 30/12/2013, 14:08

Hola. No sé si lo que pretendo se puede hacer o no, pero bueno. Tengo un link que redirige al usuario a una página php y quiero enviar cierta información a esa página por post. Habitualmente utilizo formularios con inputs hidden para esto, pero esta vez quisiera no usarlos porque los valores de los inputs los podría ver cualquiera simplemente ojeando el código de la página.
¿Se puede hacer esto de alguna manera?

Gracias por adelantado!

pateketrueke · #2 (**permalink**) 30/12/2013, 14:12

Si tu idea es usar header() para hacer la redirección, y encima utilizar el método POST entonces es imposible.

Alexis88 · #3 (**permalink**) 30/12/2013, 14:41

Podrías crear un formulario de forma dinámica, al cual le insertarías los valores que desees enviar, pero eso ya pasaría a ser un tema de JavaScript.

Saludos

DandyCC · #4 (**permalink**) 30/12/2013, 14:59

Cita:

Iniciado por pateketrueke

Si tu idea es usar header() para hacer la redirección, y encima utilizar el método POST entonces es imposible.

Ya lo sé :( Por eso como dije uso habitualmente formularios con inputs hidden, porque en su momento no encontré ninguna otra forma, aprendí esa, y esa uso. El problema viene si esos datos son lo suficientemente privados como para querer esconderlos.

Cita:

Iniciado por Alexis88

Podrías crear un formulario de forma dinámica, al cual le insertarías los valores que desees enviar, pero eso ya pasaría a ser un tema de JavaScript.

Saludos

Ya lo pensé, pero tengo el mismo problema. En algún sitio de algún archivo js aparecerían los valores que genero dinámicamente para crear al formulario, por lo que vuelve a ser relativamente asequible de averiguar.

Supongo que la única opción es encriptar los datos de alguna manera. ¿Sabéis de alguna forma eficaz?

Gracias

Alexis88 · #5 (**permalink**) 30/12/2013, 21:47

¿Y si ejecutas el código JavaScript desde PHP?, también es posible, solamente colócalo como una impresión de texto.

Código PHP:

Ver originalecho  "<script type = 'text/javascript'>
          //Aquí creas el formulario dinámico
       </script>";

Como se ejecuta del lado del servidor, no será tan vulnerable como cuando lo ejecutas desde un archivo JS.

Saludos

luis010182 · #6 (**permalink**) 31/12/2013, 04:59

hacer el formulario como siempre, si lo datos ya estan cargados con los input, podes emular un click cuando se termina de cargar la pagina. Si estas usando jquery es muy facil.

Código:

$(document).ready(function(){
     /*opcion uno*/
     $('#IdFormulario').submit();

     /*opcion dos*/
     $( "#IdBotonSubmit" ).trigger( "click" );
})

Si no usas jquery hay equivalentes a estas funciones con javascript nativo.

DandyCC · #7 (**permalink**) 03/01/2014, 11:15

Cita:

Iniciado por Alexis88

¿Y si ejecutas el código JavaScript desde PHP?, también es posible, solamente colócalo como una impresión de texto.
Como se ejecuta del lado del servidor, no será tan vulnerable como cuando lo ejecutas desde un archivo JS.
Saludos

Pero vuelvo a tener el mismo problema, aunque genere el código js con php, se sigue viendo en la página.

Cita:

Iniciado por luis010182

hacer el formulario como siempre, si lo datos ya estan cargados con los input, podes emular un click cuando se termina de cargar la pagina. Si estas usando jquery es muy facil.
Si no usas jquery hay equivalentes a estas funciones con javascript nativo.

No entiendo bien lo que quieres decir. No me vale de nada lanzar el submit (con jquery o js nativo) cuando se cargue la página porque el formulario debe ser lanzado a petición del usuario.

Cada vez tengo más claro que voy a tener que encriptar los datos. Voy a ver si encuentro alguna forma relativamente sencilla de hacerlo.

Gracias de todos modos.

#8 (**permalink**) 03/01/2014, 13:19

Probaste con sessiones? tal vez te solucione el problema

DandyCC · #9 (**permalink**) 04/01/2014, 06:12

Sí, utilizo sesiones, pero no sé como me podría ayudar con esto.

#10 (**permalink**) 04/01/2014, 06:34

Si no entendi mal antes de usar el header() para la redireccion , creas las sessiones con los datos importantes y asi los tienes en la otra pagina disponible sin ser vistos por nadie ni en el codigo fuente

tal vez ayude ver los codigos de las paginas que entran en juego, asi podemos ver si como lo tienes esta bien estructurado o te conviene hacer algun cambio.

DandyCC · #11 (**permalink**) 04/01/2014, 07:27

Sí, error mío. Debí especificar antes para qué quería hacer esto.

El código es muy simple. Cuando un usuario se loguea guardo en un objeto de una clase la información relevante del usuario y lo meto en una variable de sesión. Tengo varios enlaces a páginas de acceso restringido en función del tipo de usuario (en función de varias cosas más, pero para resumir digamos que es el tipo de usuario). En teoría, un usuario sólo podrá ver los enlaces a los que está permitido ir. Por ejemplo, tengo varios grupos y el usuario sólo podrá ver los 2 primeros

Código HTML:

Ver original<a href="grupo.php?id=1">Grupo 1</a>
<a href="grupo.php?id=2">Grupo 2</a>

En grupo.php verifico que el usuario logueado tiene acceso al grupo cuya id viene por GET, pero me gustaría no mostrar las id de los grupos. Si alguien crea un script que le permita modificar el tipo de acceso, podría entrar en cualquier grupo que desee simplemente probando ids.

#12 (**permalink**) 04/01/2014, 07:44

bueno en principio mostrar el id del grupo no tendria que ser preocupante si tu verificas correctamente en grupo.php el tipo de usuario , por mas que yo modifique el grupo?id=4 si yo tengo nivel 2 este no me tendria que dejar pasar . para modificar el tipo de acceso se tiene que tener acceso al servidor ya que es este el que crea y mantiene las sessiones.

ahora bien puedes crear numeros aleatorios mira asi

Código PHP:

Ver original$_SESSION['GRUPO'] = array(
     
        1 => rand(1,9999999999),
        2 => rand(1,9999999999)
     
        );
 
    echo '<a href="grupo.php?id='.$_SESSION['GRUPO'][1].'">Grupo 1</a>';
    echo '<a href="grupo.php?id='.$_SESSION['GRUPO'][2].'">Grupo 2</a>';

Y EN GRUPO.PHP

Código PHP:

Ver originalswitch($_GET['id']) {
case $_SESSION['GRUPO'][1] :
$id= 1;
break;
 
case $_SESSION['GRUPO'][2] :
$id= 2;
}

te faltaria verificar la session el get y esas cosas pero ya lo tendrias escondido y cada aztualizacion seria diferente link

DandyCC · #13 (**permalink**) 05/01/2014, 03:44

De nuevo muchas gracias!!

Voy a probar pero me parece la mejor solución que podría encontrar