Forums Últimos mensajes - Powered by IBM
 
Tags Palabras claves

Seguridad

15/03/2006 - 18:24 por Jordi | Informe spam
Ayuda Hacer una pregunta
Hola a todos,

Estoy con una pagina que al entrar pide usuario y contraseña, hasta aqui
todo bien, pero una vez dentro, por ejemplo:

http://localhost/pepito/vindras/vin...p?id"

aqui veriamos la informacion de un usuario el id", i puede cambiar una
serie de opciones, pero si esta persona cambia manualmente la variable id22 por id# puede entrar a la ficha de otra persona, como puedo evitar
esto ?

Gracias de antemano y saludos,
email Siga el debateRespuesta 6 respuestasRespuesta Tengo una respuesta

Preguntas similare

Mostrar todos los temas similares

Leer las respuestas

#1 Dani Castillo
15/03/2006 - 18:31 | Informe spam
Pues manteniendo en session por ejemplo el id "real" de la persona, es decir

1 form que pide user /pass
2 envias a un asp que comprueba ese par y obtiene el id
y guardas el id en session
3 todo el resto de paginas comprueban ese session en lugar del parametro
pasado


"Jordi" escribió en el mensaje
news:
Hola a todos,

Estoy con una pagina que al entrar pide usuario y contraseña, hasta aqui
todo bien, pero una vez dentro, por ejemplo:

http://localhost/pepito/vindras/vin...p?id"

aqui veriamos la informacion de un usuario el id", i puede cambiar una
serie de opciones, pero si esta persona cambia manualmente la variable id> 22 por id# puede entrar a la ficha de otra persona, como puedo evitar
esto ?

Gracias de antemano y saludos,
Respuesta Responder a este mensaje
#2 Jordi
15/03/2006 - 19:02 | Informe spam
OK perfecto, asi no se ve el id por ningun sitio,

guardo al inicio el id en session("id")

por cierto, no estaria de mas poner

<% if not session("id") = rs("id") then
response.redirect("index.asp")
%>

seria aun mas seguro, no ?

como lo veis?



"Dani Castillo" wrote in
news:u$#:

Pues manteniendo en session por ejemplo el id "real" de la persona, es
decir

1 form que pide user /pass
2 envias a un asp que comprueba ese par y obtiene el id
y guardas el id en session
3 todo el resto de paginas comprueban ese session en lugar del
parametro pasado


"Jordi" escribió en el mensaje
news:
Hola a todos,

Estoy con una pagina que al entrar pide usuario y contraseña, hasta
aqui todo bien, pero una vez dentro, por ejemplo:

http://localhost/pepito/vindras/vin...p?id"

aqui veriamos la informacion de un usuario el id", i puede cambiar
una serie de opciones, pero si esta persona cambia manualmente la
variable id= 22 por id# puede entrar a la ficha de otra persona,
como puedo evitar esto ?

Gracias de antemano y saludos,





Respuesta Responder a este mensaje
#3 Dani Castillo
15/03/2006 - 20:11 | Informe spam
depende de como filtres para sacar ese rs :-) si en tu pagina haces algo
como
sql="select * from tabla where id=" & session("id")
ya estas obteniendo solo los datos del usuario


"Jordi" escribió en el mensaje
news:
OK perfecto, asi no se ve el id por ningun sitio,

guardo al inicio el id en session("id")

por cierto, no estaria de mas poner

<% if not session("id") = rs("id") then
response.redirect("index.asp")
%>

seria aun mas seguro, no ?

como lo veis?



"Dani Castillo" wrote in
news:u$#:

Pues manteniendo en session por ejemplo el id "real" de la persona, es
decir

1 form que pide user /pass
2 envias a un asp que comprueba ese par y obtiene el id
y guardas el id en session
3 todo el resto de paginas comprueban ese session en lugar del
parametro pasado


"Jordi" escribió en el mensaje
news:
Hola a todos,

Estoy con una pagina que al entrar pide usuario y contraseña, hasta
aqui todo bien, pero una vez dentro, por ejemplo:

http://localhost/pepito/vindras/vin...p?id"

aqui veriamos la informacion de un usuario el id", i puede cambiar
una serie de opciones, pero si esta persona cambia manualmente la
variable id= 22 por id# puede entrar a la ficha de otra persona,
como puedo evitar esto ?

Gracias de antemano y saludos,








Respuesta Responder a este mensaje
#4 Jordi
15/03/2006 - 20:37 | Informe spam
si asi lo hago la sentencia ... con eso crees que es suficiente
seguridad?

concretamente he puesto

sql="select * from invitats where id = '"& session("id") &"'"

gracias por tus sabios consejos

Jordi Cordon




"Dani Castillo" wrote in
news::

depende de como filtres para sacar ese rs :-) si en tu pagina haces


algo
como
sql="select * from tabla where id=" & session("id")
ya estas obteniendo solo los datos del usuario


"Jordi" escribió en el mensaje
news:
OK perfecto, asi no se ve el id por ningun sitio,

guardo al inicio el id en session("id")

por cierto, no estaria de mas poner

<% if not session("id") = rs("id") then
response.redirect("index.asp")
%>

seria aun mas seguro, no ?

como lo veis?



"Dani Castillo" wrote in
news:u$#:

Pues manteniendo en session por ejemplo el id "real" de la persona,






es
decir

1 form que pide user /pass
2 envias a un asp que comprueba ese par y obtiene el id
y guardas el id en session
3 todo el resto de paginas comprueban ese session en lugar del
parametro pasado


"Jordi" escribió en el mensaje
news:
Hola a todos,

Estoy con una pagina que al entrar pide usuario y contraseña, hasta
aqui todo bien, pero una vez dentro, por ejemplo:

http://localhost/pepito/vindras/vin...p?id"

aqui veriamos la informacion de un usuario el id", i puede cambiar
una serie de opciones, pero si esta persona cambia manualmente la
variable id= 22 por id# puede entrar a la ficha de otra persona,
como puedo evitar esto ?

Gracias de antemano y saludos,













Respuesta Responder a este mensaje
#5 Dani Castillo
15/03/2006 - 20:41 | Informe spam
Si , sera suficiente siempre q no falle en otro lado :-) , quiero decir si
el id lo has comprobado correctamente antes estara todo ok

"Jordi" escribió en el mensaje
news:
si asi lo hago la sentencia ... con eso crees que es suficiente
seguridad?

concretamente he puesto

sql="select * from invitats where id = '"& session("id") &"'"

gracias por tus sabios consejos

Jordi Cordon




"Dani Castillo" wrote in
news::

depende de como filtres para sacar ese rs :-) si en tu pagina haces


algo
como
sql="select * from tabla where id=" & session("id")
ya estas obteniendo solo los datos del usuario


"Jordi" escribió en el mensaje
news:
OK perfecto, asi no se ve el id por ningun sitio,

guardo al inicio el id en session("id")

por cierto, no estaria de mas poner

<% if not session("id") = rs("id") then
response.redirect("index.asp")
%>

seria aun mas seguro, no ?

como lo veis?



"Dani Castillo" wrote in
news:u$#:

Pues manteniendo en session por ejemplo el id "real" de la persona,






es
decir

1 form que pide user /pass
2 envias a un asp que comprueba ese par y obtiene el id
y guardas el id en session
3 todo el resto de paginas comprueban ese session en lugar del
parametro pasado


"Jordi" escribió en el mensaje
news:
Hola a todos,

Estoy con una pagina que al entrar pide usuario y contraseña, hasta
aqui todo bien, pero una vez dentro, por ejemplo:

http://localhost/pepito/vindras/vin...p?id"

aqui veriamos la informacion de un usuario el id", i puede cambiar
una serie de opciones, pero si esta persona cambia manualmente la
variable id= 22 por id# puede entrar a la ficha de otra persona,
como puedo evitar esto ?

Gracias de antemano y saludos,
















Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaSiguiente Respuesta Tengo una respuesta
Search Busqueda sugerida