Ir para conteúdo

POWERED BY:

Arquivado

Este tópico foi arquivado e está fechado para novas respostas.

spinow

Objeto Session

Por , em ASP Clássico

Recommended Posts

spinow    0

spinow
Postado

Bom dia.

 

Tenho uma tabela de Usuarios e Produtos dos Usuários, exemplo.

Para acessar a edição dos Produtos dos Usuários, utilizo uma querystring para tal. Portanto, mesmo se o Produto 20 pertencer ao usuario 2, mesmo se eu estiver logado como usuario 1, poderei acessar digitando diretamente na URL, exemplo, edicao.asp?id_produto=20...

Para evitar isso, na pagina de edicao, criei um script que pega o id do usuario (uma variavel de sessão) e verifica se o id do produto requerido, pertence aquele usuario.

Portanto, se estiver logado como usuario 1, não terei acesso ao produto 20, jah que este pertence ao usuario 2. Certo?

Beleza... acontece que isso funciona quando eu logo pela primeira vez, tipo, logo como usuario 1, tento acessar atraves da url o produto 20 e sou barrado. Então, logo como usuario 2, tento acessar o produto 40, sou barrado. Mas se eu continnuo neste ciclo, consigo acessar qualquer produto, mesmo se for um produto que não pertença a nenhum usuario logado naquele browser... Mesmo se eu uso o Session.Abandon() ao fazer logoff não funciona...

Alguma idéia do que pode ser ou mesmo uma solução? Seria problemas de memória???

 

Obrigado!

Compartilhar este post

Link para o post
Compartilhar em outros sites

Magnoweb    0

Magnoweb
Postado

Outra coisa que você pode fazer é uma verificação do código do usuário e do produto, tipo "WHERE (id_user="&Session("id_usuario")&") AND (produto="&cod_produto&")" assim você iria amarrar mais o acesso aos produtos.

 

Também pode ter outras soluções, dependendo do que quer ser feito.

 

flw,

Magnoweb

Compartilhar este post

Link para o post
Compartilhar em outros sites

spinow    0

spinow
Postado

pOIS então, no meu codigo é mais ou menos assim no recordset: SELECT * FROM produtos WHERE id_produto = '"& id_produto_escolhido &"', e então eu chamo um IF recordset("id_usuario") <> Session("id_usuario") then ... redirect bla bla bla....

Funciona, mas não por muito tempo...

 

E Jonathan, tem como esvaziar o cache sem fechar o browser? Porque, em um site de email por exemplo, mesmo fazendo logoff eu corro o risco de alguem conseguir acessa-lo, caso eu não feche o browser?

 

Vlw

Compartilhar este post

Link para o post
Compartilhar em outros sites
Ir para a lista de tópicos ASP Clássico
×

Informação importante

Ao usar o fórum, você concorda com nossos Termos e condições.

  Aceito