Forums Últimos mensajes - Powered by IBM
 
Tags Palabras claves

...a ver si se explicarme

10/12/2003 - 12:19 por s.a.m | Informe spam
Ayuda Hacer una pregunta
Estimados foreros:

Los usuarios de mi web se validan con user y password
Van a una seccion que se llama pedir presupuesto
Rellenan un form y le dan a enviar
Los datos se ingreasan en una tabla (presupuestos) con un campo autonumerico
(ref) que tomo como referencia para el presupuesto
Genero el presupuesto en pdf, le pongo al archivo el nombre de la ref (ej:
23.pdf)
Les mando un mail y les digo "presupuesto generado" lo pueden ver en la
seccion presupuestos
Les listo los que me han pedido:
<a href="proyectos\<%=rs("ref")%>.pdf" target="_blank"><%=rs("ref")%></a>
y se abre una ventana http://loquesea/proyectos/23.pdf

La pregunta es: ¿Como evito que el usuario se ponga a jugar con la direccion
del navegador y cambie el 23.pdf por el 15.pdf y de esta forma vea un
presupuesto que no es de ese usuario concreto?

Si alguien ha sido capaz de entender mi extraña explicacion agradezco
cualquier orientacion de como hacerlo. Supongo que he de usar la sesion
activa y chequear que la ref pertenece a esa sesion, pero no se como.

Gracias de antemano, un saludo.

Fdo. s.a.m
email Siga el debateRespuesta 8 respuestasRespuesta Tengo una respuesta

Preguntas similare

Mostrar todos los temas similares

Leer las respuestas

#1 Daniel Álvarez
10/12/2003 - 12:25 | Informe spam
Hola:

1) Te has explicado correctisimamente y se te entiende a la primera
2) Puede hacer usando algun ecnriptador que encripte el id y te cambie
el 23 por hhh233388ffioeoewo18239393, tu creas el pdf con ese nombre y
listo.
Si no tienes encriptador o no quieres usarlo puede simularlo tu
mismo, en la misma tabla crea un campo donde guardas el nombre del pdf en
cuestion, ese nombre lo puedes crear tu aleatoriamente a base de componer un
nombre de por ejemplo 20 caracteres alfanumericos, eso si debes comprobar
que no repites ningun nombre para no machar los ficheros pdf. Y si no
quieres tampoco usar eso puede jugar con algun otro campo que tengas por ahi
como una fecha u hora de creacion del registro si tuvieras un campo fecha de
alta pues podria ser el fichero algo asi como 23010220031029 donde
especificas el id el dia y la hora de creacion todo en un chorizo y asi
nadie podra jugar con la barra de direcciones.



Daniel Álvarez




"s.a.m" escribió en el mensaje
news:br6vc6$8bn$
Estimados foreros:

Los usuarios de mi web se validan con user y password
Van a una seccion que se llama pedir presupuesto
Rellenan un form y le dan a enviar
Los datos se ingreasan en una tabla (presupuestos) con un campo


autonumerico
(ref) que tomo como referencia para el presupuesto
Genero el presupuesto en pdf, le pongo al archivo el nombre de la ref (ej:
23.pdf)
Les mando un mail y les digo "presupuesto generado" lo pueden ver en la
seccion presupuestos
Les listo los que me han pedido:
<a href="proyectos\<%=rs("ref")%>.pdf" target="_blank"><%=rs("ref")%></a>
y se abre una ventana http://loquesea/proyectos/23.pdf

La pregunta es: ¿Como evito que el usuario se ponga a jugar con la


direccion
del navegador y cambie el 23.pdf por el 15.pdf y de esta forma vea un
presupuesto que no es de ese usuario concreto?

Si alguien ha sido capaz de entender mi extraña explicacion agradezco
cualquier orientacion de como hacerlo. Supongo que he de usar la sesion
activa y chequear que la ref pertenece a esa sesion, pero no se como.

Gracias de antemano, un saludo.

Fdo. s.a.m


Respuesta Responder a este mensaje
#2 Miguel González
10/12/2003 - 12:36 | Informe spam
Como dijo Dani, te explicas muy bien.

Otra posible solución estriba en que el enlace que lee el pdf en vez de dirigir al usuario directamente hacia el pdf lo redirija a una página asp que controle el tema. Así, por ejemplo:

servirpdf.asp?pdfid=<%=rs("ref")%>

En esta página se verificará que el usuario es quien dice ser y que tiene derecho a ver el pdf solicitado. Si todo ok, le sirves mediante FSO y stream el pdf.

Obviamente, tendrás que guardar los pdf en una carpeta que no sean directamente accesibles desde la web.

Saludos!
Miguel


"s.a.m" escribió en el mensaje news:br6vc6$8bn$
Estimados foreros:

Los usuarios de mi web se validan con user y password
Van a una seccion que se llama pedir presupuesto
Rellenan un form y le dan a enviar
Los datos se ingreasan en una tabla (presupuestos) con un campo autonumerico
(ref) que tomo como referencia para el presupuesto
Genero el presupuesto en pdf, le pongo al archivo el nombre de la ref (ej:
23.pdf)
Les mando un mail y les digo "presupuesto generado" lo pueden ver en la
seccion presupuestos
Les listo los que me han pedido:
<a href="proyectos\<%=rs("ref")%>.pdf" target="_blank"><%=rs("ref")%></a>
y se abre una ventana http://loquesea/proyectos/23.pdf

La pregunta es: ¿Como evito que el usuario se ponga a jugar con la direccion
del navegador y cambie el 23.pdf por el 15.pdf y de esta forma vea un
presupuesto que no es de ese usuario concreto?

Si alguien ha sido capaz de entender mi extraña explicacion agradezco
cualquier orientacion de como hacerlo. Supongo que he de usar la sesion
activa y chequear que la ref pertenece a esa sesion, pero no se como.

Gracias de antemano, un saludo.

Fdo. s.a.m


Respuesta Responder a este mensaje
#3 pablo
10/12/2003 - 13:02 | Informe spam
tambien puedes guardarte en una variable session el identificador del
usuario. Asi cuando abras un documento, trendras que validar ese
identificador almacenado en la session. Si no coincide el documento a
mostrar con el identificador, pues lo mandas a una pagina de error.
Aunque lo de encriptar es una gran idea.
Hasta otra.
Respuesta Responder a este mensaje
#4 Jhonny Vargas P. [MVP]
10/12/2003 - 14:03 | Informe spam
Hola nn o s.a.m.

Tengo una solución muy buena, pero requiere un poco de tiempo y que te pases
"esa página" a .NET

En donde puedes ver si un usuario logueado puede o no ver el contenido de un
"pdf"... dejame buscar el link donde vi esta solución... dame algunas horas
en buscarla... es excelente y no es muy complejo (a la vista por lo
menos)...

La idea es revisar previamente en el IIS, la solicitud del usuario y si
tiene acceso (o logueado), permitir la descarga del documento... sino,
enviar un mensaje para que se autentifique



Saludos,
Jhonny Vargas P. [MS MVP]
Santiago de Chile




"s.a.m" wrote in message
news:br6vc6$8bn$
Estimados foreros:

Los usuarios de mi web se validan con user y password
Van a una seccion que se llama pedir presupuesto
Rellenan un form y le dan a enviar
Los datos se ingreasan en una tabla (presupuestos) con un campo


autonumerico
(ref) que tomo como referencia para el presupuesto
Genero el presupuesto en pdf, le pongo al archivo el nombre de la ref (ej:
23.pdf)
Les mando un mail y les digo "presupuesto generado" lo pueden ver en la
seccion presupuestos
Les listo los que me han pedido:
<a href="proyectos\<%=rs("ref")%>.pdf" target="_blank"><%=rs("ref")%></a>
y se abre una ventana http://loquesea/proyectos/23.pdf

La pregunta es: ¿Como evito que el usuario se ponga a jugar con la


direccion
del navegador y cambie el 23.pdf por el 15.pdf y de esta forma vea un
presupuesto que no es de ese usuario concreto?

Si alguien ha sido capaz de entender mi extraña explicacion agradezco
cualquier orientacion de como hacerlo. Supongo que he de usar la sesion
activa y chequear que la ref pertenece a esa sesion, pero no se como.

Gracias de antemano, un saludo.

Fdo. s.a.m


Respuesta Responder a este mensaje
#5 Jhonny Vargas P. [MVP]
10/12/2003 - 14:08 | Informe spam
Lo encontré

El artículo es de Alejandro Mezcua... es MVP .NET de España

link corto..
http://tinyurl.com/ykwt

link original (espero que no se separe en dos)
http://www.microsoft.com/spanish/ms...art134.asp


Saludos,
Jhonny Vargas P. [MS MVP]
Santiago de Chile


"Jhonny Vargas P. [MVP]" wrote in message
news:#
Hola nn o s.a.m.

Tengo una solución muy buena, pero requiere un poco de tiempo y que te


pases
"esa página" a .NET

En donde puedes ver si un usuario logueado puede o no ver el contenido de


un
"pdf"... dejame buscar el link donde vi esta solución... dame algunas


horas
en buscarla... es excelente y no es muy complejo (a la vista por lo
menos)...

La idea es revisar previamente en el IIS, la solicitud del usuario y si
tiene acceso (o logueado), permitir la descarga del documento... sino,
enviar un mensaje para que se autentifique



Saludos,
Jhonny Vargas P. [MS MVP]
Santiago de Chile




"s.a.m" wrote in message
news:br6vc6$8bn$
> Estimados foreros:
>
> Los usuarios de mi web se validan con user y password
> Van a una seccion que se llama pedir presupuesto
> Rellenan un form y le dan a enviar
> Los datos se ingreasan en una tabla (presupuestos) con un campo
autonumerico
> (ref) que tomo como referencia para el presupuesto
> Genero el presupuesto en pdf, le pongo al archivo el nombre de la ref


(ej:
> 23.pdf)
> Les mando un mail y les digo "presupuesto generado" lo pueden ver en la
> seccion presupuestos
> Les listo los que me han pedido:
> <a href="proyectos\<%=rs("ref")%>.pdf"


target="_blank"><%=rs("ref")%></a>
> y se abre una ventana http://loquesea/proyectos/23.pdf
>
> La pregunta es: ¿Como evito que el usuario se ponga a jugar con la
direccion
> del navegador y cambie el 23.pdf por el 15.pdf y de esta forma vea un
> presupuesto que no es de ese usuario concreto?
>
> Si alguien ha sido capaz de entender mi extraña explicacion agradezco
> cualquier orientacion de como hacerlo. Supongo que he de usar la sesion
> activa y chequear que la ref pertenece a esa sesion, pero no se como.
>
> Gracias de antemano, un saludo.
>
> Fdo. s.a.m
>
>


Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaSiguiente Respuesta Tengo una respuesta
Search Busqueda sugerida