Evitar la edición manual de parámetros de la URL

Existe algún Script que evite que el usuario pueda modificar manualmente las variables enviadas por la URL?

Por ejemplo, en una URL:

http://localhost/sitios/active/noticias/detalle.asp?Id=12

Hacer algo que, si el usuario en su navegador me cambia el numero del id, le redireccione hacia otra pagina con un mensaje de error.

La FAQ Evitar la edición manual de parámetros de la URL tiene

• Una respuesta
• 7 comentarios
• 4 comentarios no revisados

Pertenece a la categoría:

• Tratamiento de variables PHP
• Paso varibles por URL

Captar la edición de la URL creo que es completamente imposible, pero a mi se me ocurre otra forma de poner dificil que los visitantes lo puedan llevar a cabo, aparte de utilizando frames, como se ha comentado ya.

Se trata de hacer que tu página se navegue dentro de una ventana secundaria a la que le puedes eliminar los elementos que quieras, incluida la barra de direcciones, sin la cual, nadie podría editar la URL.

De todos modos, debes estar preparado para que cualquier persona pueda navegar editando la dirección a la que está accediendo y realizar tus páginas de modo que no se puedan quedar "colgadas" si se hace eso.

Y si se agrega un segundo parámetro que contenga el primero semi encriptado de manera de que si se altera o edita alguno, la página destino al hacer la comparación respectiva entre parámetros pueda determinar si hubo cambio.

Para tener la maxima seguridad prueba esto:

- Pasa la url como un parametro
- Codifica la url con md5.
- Luego crea una pagina principal, en la cual descodificaras (md5) la url que recibes y una vez decodificada redirecciona a la pagina en cuestion.

Pero esto es matar moscas a cañonazos, asi que para seguridad realiza tus proyectos con sesiones a nivel de servidor y ya esta.

un saludo

Creo que a lo que se refiere nuestro amigo, es a que salga un error del tipo "esa página no existe, no cambies la url".

pongamos por ejemplo que la dirección es pag.php?var=12 o pag.htm?var=12, depende de si usas php o javascript.

Con javascript, yo lo utilizaría para que la página "pag.htm" coja la variable que se le pasa, y te mande a una página dependiendo de la variable que le pases.
Entonces, si la variable no existe, mandarle a la página de error.

Con php, yo teng en mi web una página con todo el formato, que incluye en el medio la página pagquepongaenlaurl.php mediante

<?
&pag = $var.".php";
include($pag);
?>

y pondría que antes de hacer el include, haga una comprobación de si existe la página mediante if (file_exists($pag)){ include($pag)
}
else {
       include("error.php")
}

Si no entendeis, algo, decidmelo por email.

Saludos. Álvaro [www.iespana.es/superweb14]

A mi entender, lo mejor es pasar ese dato mediante el method=post, es decir, crear una variable hidden que contenga el campo id dentro de un formulario y antes de enviarlo, mediante javascript, le cambias el valor al id que quieras, después recibes el valor con, por ejemplo en php, $_POST['id'], así evitas que aparezca explícitamente el id en la barra de direcciones

No sé si te será de ayuda, pero bueno, ahí queda
Hasta pronto

Simplemente cambia el método "GET" por METHOD="POST": el usuario jamás podrá modificar las variables enviadas al servidor de esta manera.

Ya que hablan de ModRewrite, ofrezco una referencia dentro de DesarrolloWeb.com que explica lo que es y su utilización: Editar htaccess para crear direcciones amigables
http://www.desarrolloweb.com/manuales/htaccess-para-urls-amigables.html