Validacion acceso por url con variables

bruceereu · #1 (**permalink**) 22/03/2010, 08:29

Buenos días,

Primero quiero decir que estoy dando mis primeros pasos en el mundo de la programación, claro con conocimiento muy pero muy basicos.

El tema es el siguiente: en el trabajo se me esta presentando un pequeño gran problema claro yo lo veo asi por ser novel, pero es el siguiene, estoy realizando validaciones de acceso por url y hasta el momento habian sido faciles, pero ahora se me presentan unos archivos (PHP) que se les pasa variables por la url. Un mismo archivo puede presentar pantallas o información distintas dependiendo de las variables que este tomando.

Me pueden dar una luz por favor, mucho se lo sabre agradecer

abimaelrc · #2 (**permalink**) 22/03/2010, 08:34

Sinceramente me perdí con la pregunta, podrias mejor presentar el código que estés usando para que te puedan dar explicar lo que puedes hacer.

Marvin · #3 (**permalink**) 22/03/2010, 08:54

Creo entender algo...

Un archivo php es programado y es muy poco probable que sea estandar, por lo tanto para sacar el reporte 1 en una pagina pueden existir al menos 20 maneras de hacerlo...

Dado lo anterior, debes consultar cada uno de los reportes y/o pantallas que quieras mostrar e ir anotando sus url.

Lo del paso de parametros por URL es basicamente enviar una cadena de texto bien formada, y esto se hace de la siguiente manera:

paginaCualquiera.php?variable1=valor1&variable2=valor2&....&variableN=valorN
Algunos Ejemplos:

Código HTML:

reportes.php?etapa=3
reportes.php?estado=1&num=2
reportes.php?reporte=2&nombre=Juanito&edad=12&fecha=12-12-2009

Suerte!

bruceereu · #4 (**permalink**) 22/03/2010, 12:06

Buenas Tardes, este es un poco del codigo q se esta utilizando para validar el acceso. Me funciono con los archivos PHP simples (nombreArchivo.php), pero hay otros archivos como los q da de ejemplo Marvin y que de alguna manera se les pasan parametros distintos por la url y me muestra información distinta.

Este es un poco del codigo pero por razones de seguridad no puedo mostrar mas.

$selfpinfo = pathinfo($_SERVER['PHP_SELF']);
$url= $selfpinfo['basename'];

$user=ObtenerIdentidad();
$acceso=validar_acceso($user->dmail,$url);

Uhh....

Durante la ejecución de la función validar_acceso, me falto decir algo importante, es que comparo contra una consulta a base de datos y esta me trae la url completa (con parametros y todo) y en el php debo hacer la comparación y verificar que los parametros y el privilegio del usuario son correctos para poder dar el acceso o no. Claro este sistema esta en funcionamiento yo estoy es modificando y colaborando un poco con esta validación ya que son pasantias de la universidad.

Creo q he sido bastante explicito y sino disculpen mi poco conocimiento, en el area.

Escucho comentarios y propuestas, por favor.

Gracias....

eulloa · #5 (**permalink**) 22/03/2010, 12:18

Cita:

Iniciado por bruceereu

Este es un poco del codigo pero por razones de seguridad no puedo mostrar mas.

Queéee? Q trabajas en la NASA o algo???

Nah, es broma.

Me parece q lo primero es la fortaleza del diseño de tu soft. Por como escribes acá, lo único q estás haciendo es ocultando los datos q pasas por URL, eso verdaderamente no está del TODO correcto

Deberías validar correctamente tus variables pasadas por URL
Lo primero es comprobar q vienen de donde dicen q lo hacen, eso lo logras con $_GET, en el caso de que estés utilizando un form, q tampoco especificas

En fin, que vamos hombre, q si esperas q te ayuden deberías ser más específico

saludines y esperamos por tí

bruceereu · #6 (**permalink**) 23/03/2010, 10:18

Buenos dias, estos son los archivos con los que estoy validando los archivos php pero sin varibles por la url

<?
include_once('val_acc.php');

$selfpinfo = pathinfo($_SERVER['PHP_SELF']);
$url= $selfpinfo['basename'];

$user=ObtenerIdentidad();
$acceso=val_acceso($user->dmail,$url);
if($acceso==1):
?>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
</head>
<body>
<table width="70%" border="0" cellspacing="0" cellpadding="0" class="TablaDato" align="center">
<tr>
<img src="imagen.jpeg">
</tr>
<tr>
<td>
 
</td>
</tr>
<tr>
<td align="center">
"No esta autorizado a ingresar a este modulo."
</td>
</tr>
</table>
</body>
</html>
<?
exit();
endif;
?>

este es el archivo val_acc.php, que esta incluido en el primer archivo que mostre, en este es donde creo que tiene que ir la validacion nueva pero escucho sugerencias por favor.

<?

function val_acceso($user,$url){
$acceso=0;
$nobjeto=conexion();
$sql="SELECT curl
FROM tabla, tabla1, tabla2
WHERE tabla=tabla1
AND rol_tabla1=tabla2
AND cusuario='".$user."'
AND curl like '%".$url."%'";
$recroles=$nobjeto->Execute($sql);
if($recroles->EOF):
$acceso=1;

//insertar en log para registrar el acceso no autorizado
$sql="INSERT INTO tabla_den
VALUES (tabla_den,'INTRANET','".$url."','".$_SERVER['REMOTE_ADDR']."','".$user."',SYSDATE)";
$insertlog=$nobjeto->Execute($sql);
return $acceso;
};
?>

Buenos dias, estos son los archivos con los que estoy validando los archivos php pero sin varibles por la url

Código PHP:

Ver originalinclude_once('val_acc.php');
 
$selfpinfo = pathinfo($_SERVER['PHP_SELF']);
$url= $selfpinfo['basename'];
    
$user=ObtenerIdentidad();
$acceso=val_acceso($user->dmail,$url);
if($acceso==1):
    ?>
        <html>
            <head>
            <meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
            </head>
            <body>
            <table width="70%"  border="0" cellspacing="0" cellpadding="0" class="TablaDato" align="center">
                <tr>
                <img src="imagen.jpeg">
            </tr>
                <tr>
                    <td>
                    &nbsp;
                    </td>
                </tr>
                <tr>
                    <td align="center">
                    "No esta autorizado a ingresar a este modulo."
                    </td>
                </tr>
            </table>
            </body>
        </html>
    <?  
    exit(); 
endif;
?>

este es el archivo val_acc.php, que esta incluido en el primer archivo que mostre, en este es donde creo que tiene que ir la validacion nueva pero escucho sugerencias por favor.

Código PHP:

Ver original<?
 
function val_acceso($user,$url){
    $acceso=0;
    $nobjeto=conexion();
    $sql="SELECT curl
          FROM tabla, tabla1, tabla2 
          WHERE tabla=tabla1 
          AND rol_tabla1=tabla2
          AND cusuario='".$user."'
          AND curl like '%".$url."%'";
    $recroles=$nobjeto->Execute($sql);
    if($recroles->EOF):
    $acceso=1;
    
    //insertar en log para registrar el acceso no autorizado
        $sql="INSERT INTO tabla_den
              VALUES (tabla_den,'INTRANET','".$url."','".$_SERVER['REMOTE_ADDR']."','".$user."',SYSDATE)";
        $insertlog=$nobjeto->Execute($sql);
return $acceso;
};
?>

Cita:

Iniciado por abimaelrc

Sinceramente me perdí con la pregunta, podrias mejor presentar el código que estés usando para que te puedan dar explicar lo que puedes hacer.

Buenas tardes, envie el codigo q estoy utilizando, sera que me orientar

eulloa · #7 (**permalink**) 24/03/2010, 09:46

Ummmm, no veo muy bien lo q quieres hacer.
Pregunta: ¿Solo es un sistema de mantenimiento de usuarios, donde te preocupa la validación para entrar a la web restringida o es otra cosa?
Si la pregunta es afirmativa, sesiones.
Si no, pues explícame bien

bruceereu · #8 (**permalink**) 05/04/2010, 08:38

Buenos días, estoy todavía por aqui, porq se me presento otro problema, ya mi función de validar el acceso por la url funciona, pero funciona tan bien que teniendo el privilegio de entrar a la url solicitada no me deja ingresar, jajaja esta malo.

Le voy a explicar lo que hice y donde creo q es donde se me presenta el error, para ver si me pueden ayudar. La validación la manejo con dos archivos php, el primero es validar_acceso_c.php y el otro es validar_acceso_m.php.

Esta es el primer archivo (validar_acceso_c.php), hago el include del otro archivo, inicializo una serie de variables donde me valgo de $_SERVER para tomar el nombre del archivo solicitado y las variables asociadas a este archivo, luego concateno el nombre mas el signo de interrogación y las variables, le hago un preg_replace ya que este caracter "&" es reservado por oracle y me dava error al hacer la consulta en base de datos, luego obtengo el user para enviarsela a la funcion validar acceso con la url.

Código PHP:

Ver original<?
include_once('val_acc_variab.php');
 
$selfpinfo = pathinfo($_SERVER['PHP_SELF']);
 
$script = $_SERVER['PHP_SELF'];
$path_info = pathinfo($script);
 
// script.php concatenado con las variables
$concat = $path_info['basename'].'?'."{$HTTP_SERVER_VARS ['QUERY_STRING']}\n"; 
 
// La función preg_replace reemplaza todos los & por vacio
$url = preg_replace("[&]", "", $concat);
 
$user=ObtenerIdentidad();
$acceso=validar_acceso($user->dmail,$url);
 
if($acceso=1):
    ?>
        <html>
            <head>
            <title>..:: ACCESO NO PERMITIDO  ::..</title>
            <meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
            </head>
            <link href="../lib/css/cadivicss.css" rel="stylesheet" type="text/css">
            <body>
            <table width="70%"  border="0" cellspacing="0" cellpadding="0" class="TablaDato" align="center">
                <tr>
                    <td align="center">
                    <img src="imagenes/advertencia.jpeg">
                    </td>
            </tr>
                <tr>
                    <td>
                    &nbsp;
                    </td>
                </tr>
                <tr>
                    <td align="center">
                    "USTED ESTA INTENTANDO ACCEDER A UN MODULO NO PERMITIDO PARA SU USUARIO."
                    </td>
                </tr>
            </table>
            </body>
        </html>
    <?  
    exit(); 
endif;
?>

Esta es la funcion que hace la validación: como se puede ver la funcion recibe los dos parametros del otro archivo php; se puede notar que la variable acceso se encuentra inicializada en cero (0), se hace la conecion a base de datos, se realiza la consulta y se guarda el SQL resultante en la variable q se especifica. Despúes entra en un IF siempre y cuando la variable acceso cambie a uno (1) para luego hacer el registro del log y mostrar la imagen y el texto del IF del otro archivo php.

Código PHP:

Ver originalValidar_acceso_m.php
 
<?
function val_acc_variab($user,$url){
    $acceso=0;
    $nobjeto=conexbasdato();
    $sql="SELECT url
          FROM tabla, tabla1, tabla2
         WHERE tabla=tabla1
         AND rol_tabla1=tabla2
         AND cusuario='".$user."'
         AND curl like '%".$url."%'";
    $recroles=$nobjeto->Execute($sql);
 
    if($recroles->EOF):
 
       $acceso=1;
 
    //insertar en log para registrar el acceso no autorizado
 
        $sql="INSERT INTO tabla_den
              VALUES (tabla_den,'".$url."','".$_SERVER['REMOTE_ADDR']."','".$user."',SYSDATE)";
        $insertlog=$nobjeto->Execute($sql);
 
return $acceso;
};
?>

Ahora bien, despues de tantos echos descubri que el error esta cuando hace la lectura en este if($recroles->EOF): del segundo archivo php, cuando lee la condición y cambia la variable acceso de cero (0) a uno (1), cuando no debe porq si lee el archivo y encuantra vacio el archivo deberia cambiar y si hay registros no cambia y deja continuar con el acceso al archivo.

Pregunta, como podria arreglar esto?

Y gracias de antemano.....