Tema: Problema extraño con sesiones PHP
Ver Mensaje Individual
  #1 (permalink)  
Antiguo 31/10/2016, 19:19
Avatar de oscarva
oscarva
 
Fecha de Ingreso: agosto-2004
Ubicación: Bogota - Colombia
Mensajes: 425
Antigüedad: 19 años, 8 meses
Puntos: 2
Problema extraño con sesiones PHP
Compañeros buenas noches.

Resulta que tengo un problema muy extraño con las sesiones que me tiene dando vueltas la cabeza sin encontrar cual puede ser el problema.

Hago uso de las sesiones para dar acceso a mis usuarios a un panel de control, el sistema de login es el normal, si son correctos usuario y contraseña entonces:

Código PHP:
//Creo la sesiones
$_SESSION["log"] = "true";
$_SESSION["user"] = $row['email'];
$_SESSION["dlog"] = $row['id']; 
Y en las protegidas simplemente:

Código PHP:
session_start();
header("Expires: Tue, 01 Jul 2001 06:00:00 GMT");
header("Last-Modified: " gmdate("D, d M Y H:i:s") . " GMT");
header("Cache-Control: no-store, no-cache, must-revalidate");
header("Cache-Control: post-check=0, pre-check=0"false);
header("Pragma: no-cache");
if (isset($_SESSION["user"])) {
//Si esta logueado
}else{
//No esta logueado
header('Location: ../login.php');

Funciono perfecto por muchos años, hasta que desde hace unos meses me están llegando reportes de usuarios que al ingresar al panel de control, especificamente a una sección donde se muestran los contactos que recibieron, les muestra los de otro usuario, simplemente cambia los valores de las sesiones user y dlog, y les muestra los contactos de otros usuarios, lo raro es que al parecer al regresar al panel principal retoma la session correcta.

Investigando los logs de acceso esto está pasando cuando ingresan desde móviles, y veo que son usuarios a los que se les modifica constantemente la IP, incluso una de las ip por las que se les modifica es una ip de google "66.249.88.XX".

Otro dato importante es que en la sección de contactos hago uso de iframes para mostrara la información, en el resto de secciones no.

¿Que podrá estar pasando?
¿será por el uso de iframes?
¿será que google tiene indexado o recorre estas secciones privadas? Aunque investigue un poco y parece no tener indexadas estas paginas, pero igual las puede recorrer.
¿será que tengo que hacer una comprobación guardando el login en la base de datos y comprobando tanto el id del usuario como su navegador para en caso de que no concuerden los saque? aunque esta sería una solución poco efectiva ya que viviría sacando usuarios el sistema.

Ojalá me puedan ayudar, muchas gracias.