Diferencia entre revisiones de «Plantilla:PHP/RedirigiendoPaginas»
De WikiEducator
(10 revisiones intermedias por el mismo usuario no mostrado) | |||
Línea 1: | Línea 1: | ||
+ | ====Funciones para filtrar evitar ataques Xss==== | ||
===Redirigiendo páginas=== | ===Redirigiendo páginas=== | ||
*Imaginemos que queremos hacer una página donde pidamos al usuario nombre y password. | *Imaginemos que queremos hacer una página donde pidamos al usuario nombre y password. | ||
Línea 39: | Línea 40: | ||
</source> | </source> | ||
</div> | </div> | ||
+ | {{plegable|hide|Solución del ejercicio anterior| | ||
+ | ;index.php | ||
+ | <source lang=php> | ||
+ | <?php | ||
+ | $error = $_GET['error'] ?? null; | ||
+ | |||
+ | //El código anterior se llama operador de fusión | ||
+ | //y es lo mismo que hacer los siguiente | ||
+ | /* | ||
+ | if (isset($_GET['error'])) | ||
+ | $error = $_GET['error']; | ||
+ | else | ||
+ | $error = null; | ||
+ | */ | ||
+ | ?> | ||
+ | |||
+ | <!doctype html> | ||
+ | <html lang="en"> | ||
+ | <head> | ||
+ | <meta charset="UTF-8"> | ||
+ | <title>Document</title> | ||
+ | </head> | ||
+ | <body> | ||
+ | <!-- | ||
+ | Aquí mostramos el contenido de la variable error si existe | ||
+ | Si no se mostrará null | ||
+ | --> | ||
+ | <?= "<span style='color:red'>$error</span>" ?> | ||
+ | <form action="valida.php" method="POSt"> | ||
+ | Nombre <input type="text" name="nombre" id=""> | ||
+ | Passord <input type="text" name="pass" id=""> | ||
+ | <input type="submit" value="Enviar"> | ||
+ | </form> | ||
+ | </body> | ||
+ | </html> | ||
+ | </source> | ||
+ | ;valida.php | ||
+ | <source lang=php> | ||
+ | <?php | ||
+ | |||
+ | |||
+ | //Leemos los valores que vienen por POST del index | ||
+ | $nombre = filter_input(INPUT_POST, 'nombre'); | ||
+ | $pass = filter_input(INPUT_POST, 'pass'); | ||
+ | |||
+ | |||
+ | if ($pass == "12345") { | ||
+ | header("Location:sitio.php?nombre=$nombre&pass=$pass"); | ||
+ | exit(); | ||
+ | } else { | ||
+ | header("Location:index.php?error=Pass incorrecta"); | ||
+ | exit(); | ||
+ | } | ||
+ | ?> | ||
+ | </source> | ||
+ | ;sitio.php | ||
+ | <source lang=php> | ||
+ | <?php | ||
+ | |||
+ | $nombre = filter_input(INPUT_GET, 'nombre'); | ||
+ | $pass = filter_input(INPUT_GET, 'pass'); | ||
+ | |||
+ | /*Esta forma de acceder es igual que esta otra | ||
+ | * En la anterior podemos pasar filtros, en esta nó | ||
+ | * Asegúrate de verlo claro | ||
+ | $nombre = $_GET['nombre']; | ||
+ | |||
+ | $pass = $_GET['pass']; | ||
+ | * | ||
+ | */ | ||
+ | ?> | ||
+ | |||
+ | <!doctype html> | ||
+ | <html lang="en"> | ||
+ | <head> | ||
+ | <meta charset="UTF-8"> | ||
+ | <title>Document</title> | ||
+ | </head> | ||
+ | <body> | ||
+ | Bienvenido <strong><?= $nombre ?></strong> | ||
+ | |||
+ | </body> | ||
+ | </html> | ||
+ | |||
+ | </source> | ||
+ | }} | ||
<!--3 --> | <!--3 --> | ||
Línea 110: | Línea 197: | ||
{{MRM_Actividad|Haz una página de bienvenida que muestre los datos de usuario y pass al acceder al sistema | {{MRM_Actividad|Haz una página de bienvenida que muestre los datos de usuario y pass al acceder al sistema | ||
*Se tiene que hacer en una única página | *Se tiene que hacer en una única página | ||
+ | *La condición es que el nombre y el password coincida para considerar datos correctos | ||
+ | |||
{{Plegable|hide|Posible solución datos_acceso.php| | {{Plegable|hide|Posible solución datos_acceso.php| | ||
+ | |||
+ | <source lang=php> | ||
+ | ;index.php | ||
<source lang=php> | <source lang=php> | ||
<?php | <?php | ||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
+ | |||
+ | if (isset($_POST['submit'])) { | ||
+ | $nombre= filter_input(INPUT_POST,"nombre", FILTER_SANITIZE_STRING); | ||
+ | $pass= filter_input(INPUT_POST,"pass", FILTER_SANITIZE_STRING); | ||
+ | if ($nombre == $pass) { //Supongo credenciales OK | ||
+ | header ("Location:sitio.php?nombre=$nombre"); | ||
+ | exit(); | ||
+ | }else { | ||
+ | $error="Datos incorrectos, vuelve a intentarlo"; | ||
+ | } | ||
+ | } | ||
?> | ?> | ||
− | + | ||
− | + | ||
<!doctype html> | <!doctype html> | ||
<html lang="en"> | <html lang="en"> | ||
Línea 139: | Línea 231: | ||
</head> | </head> | ||
<body> | <body> | ||
+ | <span style="color: red"><?php | ||
+ | echo $error ?? "No hay error" | ||
+ | ?></span> | ||
+ | <form action="index.php" method="POST"> | ||
+ | Nombre | ||
+ | <input type="text" name="nombre" value="nombre_por_defecto"><br /> | ||
+ | Password | ||
+ | <input type="text" name="pass"><br /> | ||
+ | <input type="submit" value="Enviar" name="submit"> | ||
+ | </form> | ||
+ | |||
+ | </body> | ||
+ | </html> | ||
</source> | </source> | ||
+ | ;sitio.php | ||
<source lang=php> | <source lang=php> | ||
<?php | <?php | ||
− | + | $nombre = filter_input(INPUT_GET, "nombre"); | |
− | + | ?> | |
− | + | <!doctype html> | |
− | + | <html lang="en"> | |
+ | <head> | ||
+ | <meta charset="UTF-8"> | ||
+ | <meta name="viewport" | ||
+ | content="width=device-width, user-scalable=no, initial-scale=1.0, maximum-scale=1.0, minimum-scale=1.0"> | ||
+ | <meta http-equiv="X-UA-Compatible" content="ie=edge"> | ||
+ | <title>Document</title> | ||
+ | </head> | ||
+ | <body> | ||
+ | <h1>Wellcome to this webside<span style="color: brown"><?=$nombre?></span> </h1> | ||
− | + | <form action="index.php"> | |
− | + | <input type="submit" value="Volver al index"> | |
− | + | ||
− | + | ||
− | + | ||
− | + | ||
− | + | ||
− | + | ||
− | + | ||
</form> | </form> | ||
− | |||
</body> | </body> | ||
− | </html | + | </html |
− | + | ||
</source> | </source> | ||
}} | }} | ||
+ | }} | ||
+ | |||
+ | |||
;Formulario de acceso | ;Formulario de acceso | ||
[[Archivo:formulario_acceso.png]] | [[Archivo:formulario_acceso.png]] | ||
Línea 211: | Línea 321: | ||
</source> | </source> | ||
{{MRM_Actividad|Implementa el programa anterior y verifica su funcionamiento | {{MRM_Actividad|Implementa el programa anterior y verifica su funcionamiento | ||
+ | <!-- | ||
{{Plegable|hide|Posible solución| | {{Plegable|hide|Posible solución| | ||
<source lang=php> | <source lang=php> | ||
Línea 240: | Línea 351: | ||
<input type="submit" value="Haz click" name="enviar"> | <input type="submit" value="Haz click" name="enviar"> | ||
<input type="hidden" name="accesos" value=<?php echo $accesos?> /> | <input type="hidden" name="accesos" value=<?php echo $accesos?> /> | ||
− | <h3>Has realizado<source lang=php> <?php echo $accesos ?> acceso<?php echo $accesos>1? "s": null; ? | + | <h3>Has realizado<source lang=php> <?php echo $accesos ?> acceso<?php echo $accesos>1? "s": null; ?> </h3> |
</form> | </form> | ||
</body> | </body> | ||
Línea 248: | Línea 359: | ||
}} | }} | ||
− | + | --> | |
}} | }} | ||
+ | <!-- | ||
+ | ;htmlspecialchars | ||
+ | {{MRM_Web|Title=Referencia en la web de php| | ||
+ | https://www.php.net/manual/es/function.htmlspecialchars.php | ||
+ | }} | ||
+ | *Esta función toma un string y la devuelve convirtiendo los caracteres de los elementos html (etiquetas) para que éstas (las etiquetas) no sean interpretadas por el navegador | ||
+ | |||
+ | |||
+ | |||
+ | ;strip_tag | ||
+ | ;filter_input con filtros de saneamiento | ||
+ | |||
</div> | </div> | ||
+ | --> |
Última revisión de 01:04 27 oct 2021
Contenido
Funciones para filtrar evitar ataques Xss
Redirigiendo páginas
- Imaginemos que queremos hacer una página donde pidamos al usuario nombre y password.
- El password va a ser 12345. Si el password es correcto iremos a otra página en la que le queremos dar la bienvenida con el nombre que introdujo.
- Pensemos en cómo podemos pasar ese nombre a la página.
Solución del ejercicio anterior |
---|
<?php $error = $_GET['error'] ?? null; //El código anterior se llama operador de fusión //y es lo mismo que hacer los siguiente /* if (isset($_GET['error'])) $error = $_GET['error']; else $error = null; */ ?> <!doctype html> <html lang="en"> <head> <meta charset="UTF-8"> <title>Document</title> </head> <body> <!-- Aquí mostramos el contenido de la variable error si existe Si no se mostrará null --> <?= "<span style='color:red'>$error</span>" ?> <form action="valida.php" method="POSt"> Nombre <input type="text" name="nombre" id=""> Passord <input type="text" name="pass" id=""> <input type="submit" value="Enviar"> </form> </body> </html>
<?php //Leemos los valores que vienen por POST del index $nombre = filter_input(INPUT_POST, 'nombre'); $pass = filter_input(INPUT_POST, 'pass'); if ($pass == "12345") { header("Location:sitio.php?nombre=$nombre&pass=$pass"); exit(); } else { header("Location:index.php?error=Pass incorrecta"); exit(); } ?>
<?php $nombre = filter_input(INPUT_GET, 'nombre'); $pass = filter_input(INPUT_GET, 'pass'); /*Esta forma de acceder es igual que esta otra * En la anterior podemos pasar filtros, en esta nó * Asegúrate de verlo claro $nombre = $_GET['nombre']; $pass = $_GET['pass']; * */ ?> <!doctype html> <html lang="en"> <head> <meta charset="UTF-8"> <title>Document</title> </head> <body> Bienvenido <strong><?= $nombre ?></strong> </body> </html> |