Foros del Web - Ver Mensaje Individual - [AYUDA]Seguridad al momento de crear variables de sesion de Administradores

Daitron · #1 (**permalink**) 05/06/2009, 07:18

Hola que tal, soy algo nuevo en esto y tengo algunas dudas, las variables de session se guaran en la PC de cada uno o en el servidor???, porque pregunto esto...

Estoy haciendo unos modulos en los cuales hay usuarios y administradores, pues bien, tengo un formulario de login el cual si es correcto el chequeo de usuario y contraseña encriptada por MD5, guarda la variable $_SESSION['valid_user'] esta variable queda guardada y luego los administradores en algunas paginas tienen opciones especiales si son administradores. Entonces lo que hago es chequear si ese usuario guardado en 'valid_user' esta en la base de datos y tiene el campo esdamin=1. pero... no lo chequeo con contraseña. se los muestro.

Código PHP:

Ver originalfunction admin_loged($admin)
{
    $conn=conecta_db();
    if (!$conn)
        return false;
    
    $result=mysql_query("SELECT * FROM admin WHERE admin='$admin'") or die (mysql_error());
    
    if (!$result)
        return false;
    
    if (mysql_num_rows($result)>0)
        return true;
    else
        return false;
 
}

Bien entonces mi duda surgio pensando... y si la variable de sesion se guarda en la pc y no en el server, alguien puede encontrar la forma de cambiar el contenido de dicha variable, y si le pone el contenido del nombre de un admin pasa el chequeo y esta logueado como tal...

por lo tanto, deberia crear tambien la variable de sesion 'pass' y guardarla para que sea mas seguro?

en caso de decirme que si que la guarde creen que debiera guardarla ya encriptada en md5 y o dejarla sin encriptar y que en la consulta sql realice la conversion?

Saludos a todos.