Una de sesiones

Reynier · #1 (**permalink**) 07/04/2004, 07:16

estoy trabajando la administración de mi sitio con sesiones y lo que me pasa es que cuando doy atras en mi navegador y este va a la pagina que me chequea que los datos del usuario estén en la BD me pone esto:

Cita:

Warning: Page has Expired The page you requested was created using information you submitted in a form. This page is no longer available. As a security precaution, Internet Explorer does not automatically resubmit your information for you.

To resubmit your information and view this Web page, click the Refresh button.

pero si le doy F5 me actualiza y me continua con la entrada al sistema de administración, lo cual pienso que es una vulnerabilidad, pero no se como solucionarla. El código de la página que me chequea es este:

Código PHP:

 
 <?php

 /*******************************************************************************************************************

 Sitio Web del Departamento de Marxismo

 Universidad de las Ciencias Informáticas

 Programación y Diseño: Reynier Pérez Mira ([email protected])

 Bases de Datos: Leonel Salazar Videaux ([email protected])

 Animación: Karel Pérez Ramírez ([email protected])

 *******************************************************************************************************************/

 require("functions.php");

 server();

 nocache();

 $pass = md5($_POST['passwd']);

 $query = mysql_query("SELECT * FROM usuario WHERE login='".$_POST['user']."' AND passwdenc='".$pass."' AND activo=1");

 $resultado = mysql_fetch_array($query);

 if (isset($user) && ($user == $resultado['login']) && isset($passwd) && ($pass==$resultado['passwdenc'])){

    session_start();

    $_SESSION['adminlogin'] = md5($user);

    $_SESSION['adminpasswd'] = md5($passwd);

 if($resultado['session']==""){

     $sess = session_id();

     mysql_query("UPDATE usuario SET session='".$sess."' WHERE login='".$_POST['user']."' AND passwdenc='".$pass."' AND activo=1");

 }

  if($resultado['tipo']=="0"){

      redirect("Departamento de Marxismo","1","indexadmin.php?accion=entrar&tipo=0&ses=".$resultado['session']."","Entrando al Sistema de Administración ...<br>Espere unos segundos para ser redireccionado");

  }elseif($resultado['tipo']=="1"){

      redirect("Departamento de Marxismo","1","indexadmin.php?accion=entrar&tipo=1&ses=".$resultado['session']."","Entrando al Sistema de Administración ...<br>Espere unos segundos para ser redireccionado");

  }elseif($resultado['tipo']=="2"){

      redirect("Departamento de Marxismo","1","indexadmin.php?accion=entrar&tipo=2&ses=".$resultado['session']."","Entrando al Sistema de Administración ...<br>Espere unos segundos para ser redireccionado");

  }elseif($resultado['tipo']=="3"){

      redirect("Departamento de Marxismo","1","indexadmin.php?accion=entrar&tipo=3&ses=".$resultado['session']."","Entrando al Sistema de Administración ...<br>Espere unos segundos para ser redireccionado");

  }elseif($resultado['tipo']=="4"){

      redirect("Departamento de Marxismo","1","indexadmin.php?accion=entrar&tipo=4&ses=".$resultado['session']."","Entrando al Sistema de Administración ...<br>Espere unos segundos para ser redireccionado");

  }    

 }else{

     redirect("Departamento de Marxismo","3","administrador.php?accion=entrar&error=errordatos","No está autorizado a entrar a esta página.<br>Por favor espere unos segundos.");

 }

?>

Salu2

josemi · #2 (**permalink**) 07/04/2004, 07:47

Hola,

¿Cual es el codigo de redirect()? Si es un header("Location") no deberia dar ese mensaje, ya que esa URL no estaria en el historial (no podrias llegar dando para atras). Si es una redireccion javascript/HTML, ese es el problema. Si genera salida, el action del form si queda en el historial. El navegador recuerda la peticion POST y la vuelve a enviar.

Asi que tu estructura deberia ser algo como:
[PHP]
function redirect(parametros) {
header("Location: mensaje.php?".parametros);
exit;
}
[/PHP
y en mensaje.php mostrarias el mensaje y realizarias la redireccion javascript/HTML.

Saludos.

Reynier · #3 (**permalink**) 07/04/2004, 07:52

El código de mi redirect es este:

Código PHP:

  function redirect($titulo,$time,$url,$texto){

echo "<html><head><title>".$titulo."</title><meta http-equiv='Refresh' Content='".$time." ;url=".$url."'>

   </head><script language=JavaScript src=includes/mx.js></script>

   <link href=includes/mx.css rel=stylesheet type=text/css>

   <body  bgcolor=#BABDC2><div align=center><span class=txt>".$texto."</span></div></body></html>";

}

Salu2

Cluster · #4 (**permalink**) 07/04/2004, 08:21

Te dió la solución Josemi ..

Para completar el sistema y ya que usas mensajes personalizados para indicar la acción que vas a realizar .. ("redireccionando a tal sitio") .. revisa este mensaje:

http://www.forosdelweb.com/s/msg193914.html

Un saludo,