Gracias por las respuestas!
Cita:
Iniciado por ocp001a 
Sería bueno que mostraras cómo revisas si la ip ya tiene x intentos, ya que por medio de la ip podrían inyectarte código sql si no filtras el valor de la ip.
En primer lugar, la IP la obtengo de la siguiente forma:
Código PHP:
Ver originalif (!empty($_SERVER['HTTP_CLIENT_IP'])) { $global_ip_usuario = $_SERVER['HTTP_CLIENT_IP']; } else { if (!empty($_SERVER['HTTP_X_FORWARDED_FOR'])) { $global_ip_usuario = $_SERVER['HTTP_X_FORWARDED_FOR']; } else { $global_ip_usuario = $_SERVER['REMOTE_ADDR']; } }
La IP la tengo siempre accesible en la variable $global_ip_usuario;
En el código que postee al principio, hay una parte que cuando llegas a los 10 intentos te bloquea la posibilidad de login por sesion.... ahi simplemente he añadido un INSERT INTO a una tabla con Ips bloqueadas:
Código PHP:
Ver original
INSERT INTO black_ips (ip,motivo,id_usuario,timestamp) VALUES (
'$global_ip_usuario',
'Has alcanzado el número máximo de intentos en el inicio de sesión.',
1,
$hora
)");
Una vez añado la IP a la lista negra, si esta intenta acceder la bloqueo!
Tengo un fichero "seguridad.php" que esta a modo de include(); en la primera linea de todos mis ficheros... Este tiene una parte al principio del todo donde hago lo siguiente:
Código PHP:
Ver original// compruebo lista negra de IPs antes de continuar con los links a las BD
// primero saco la IP del usuario
if (!empty($_SERVER['HTTP_CLIENT_IP'])) { $global_ip_usuario = $_SERVER['HTTP_CLIENT_IP']; } else { if (!empty($_SERVER['HTTP_X_FORWARDED_FOR'])) { $global_ip_usuario = $_SERVER['HTTP_X_FORWARDED_FOR']; } else { $global_ip_usuario = $_SERVER['REMOTE_ADDR']; } }
$result = mysqli_query($link, "SELECT black_ips.motivo,usuarios.nickname,black_ips.timestamp FROM black_ips, usuarios
WHERE black_ips.ip='$global_ip_usuario'
AND black_ips.id_usuario=usuarios.id_usuario
AND black_ips.timestamp>$hora_actual");
if($contador_result>=1) {
$global_errores = 1;
$global_error_txt = "<p>SU DIRECCIÓN IP <b>$global_ip_usuario</b> SE ENCUENTRA EN LA <b>LISTA NEGRA</b>:</p>";
$global_error_txt .= " - <b><span style='color:red'>@".$row[1]."</span></b> añadio el siguiente motivo:
<b><i>".$row[0]."</i></b><br/>";
$horas_restantes_bloqueo = (($row[2]-$hora_actual)/60)/60;
$global_error_txt .= "[$horas_restantes_bloqueo horas restantes para la eliminación de este bloqueo]<br/><br/>";
}
} else {
//este 'else' indica que no se encuentra en la lista negra de IPs... asi que continuamos:
Cita:
Iniciado por bookmaster Sobre el tema de bloquear las IP's, te puedo decir por experiencia, que te hacen el ataque desde diversas IP's a la vez ya que usan proxys.
He llevado un seguimiento de por donde han tratado de entrar en una de las webs que llevo y generan mas de 10 intentos en menos de 5 segundos al mismo, probé a bloquearlas desde SQL, .htacess, y tal pero es tontería por lo que te acabo de comentar.
La mejor opción es bloquear la cuenta directamente cuando superen dicho número de intentos, y después de un cierto tiempo desbloquearla, por si el usuario real quiere volver a entrar.
Otra opción es controlar la ubicación del que trata de acceder, tipo lo que hace google, si por ejemplo te conectas siempre desde la ubicación X, y un día de buenas a primeras tras diferentes intentos se conecta desde una ubicación Y, bloqueas la cuenta en el momento, cambias la contraseña automáticamente generando una aleatoria y le mandas un mail a la cuenta de correo con la que se registró dicho usuario con un aviso de que su cuenta a sido comprometida y los pasos para modificar la contraseña.
Gracias! Creo que si que es buena idea lo que comentas.
Actualmente tengo una tabla donde almaceno las ultimas 10 IPs con las que ha accedido un usuario... y el propio usuario lo puede ver desde su perfil.
Aun tengo que dar una vuelta a tu comentario para ver como lo hago, pero lo primero que se me viene a la cabeza es crear una nueva columna que ponga "intentos_login_fallidos" y que sume 1 cada vez que falla el login....
Si este valor llega a 10: bloquear la cuenta, y enviar email al usuario para desbloquearla mediante la generacion de nueva password.
Tambien hacer que si son 5 intentos fallidos seguidos... bloquear BIS a lo anterior.
Un saludo.