Como restrinjo el acceso a algunas de las pantallas de mi sistema

teseedith · #1 (**permalink**) 25/08/2006, 10:21

Mi problema es que el proyecto que hice solo puede tener acceso a todo una sola persona pero van a ingresar 4 diferentes usuarios, solo uno ingresa a todo y los demás solo a una parte.Estoy trabajando con PHP 5 y MySQL.
Ya tengo contraseñas con archivos pero aun asi todos tienen acceso a todo

Cluster · #2 (**permalink**) 25/08/2006, 10:43

Cita:

Ya tengo contraseñas con archivos pero aun asi todos tienen acceso a todo

Y como validas o defines a tus usuarios con su "nivel de acceso" o similar para determinar quien entra donde?

Ya que usas Mysql . .podrías gestionar tus usuarios con:

Autentificator
http://php.cluster-web.com/autentificator

Veras por lo menos como se gestiona el "nivel de acceso" y uso de sesiones para todo el sistema de autentificación. Que uses 1 o N usuarios ya es lo mismo gestionandolos en una BBDD.

Un saludo,

merolhack · #3 (**permalink**) 25/08/2006, 10:57

Oye cluster, y ese sistema que muestras tiene fallos de seguridad?

o es completamente seguro

es que veo que la ultima actualizacion es de el 2002

Cluster · #4 (**permalink**) 25/08/2006, 11:00

Cita:

Iniciado por merolhack

Oye cluster, y ese sistema que muestras tiene fallos de seguridad?

o es completamente seguro

es que veo que la ultima actualizacion es de el 2002

Todo sistema puede tener "fallos de seguridad" y de todo tipo ..

Que yo sepa no los tiene y por eso está ahí desde hace tanto tiempo.

La base del sistema es bien simple y no ha cambiado desde entonces el uso de sesiones en PHP (que es su base) ni otras cosas .. Por supuesto todo se puede mejorar .. pero lo que es por mi parte no he recibido fallas de seguridad y por eso sigue ahí .. sino, ya lo hubiese quitado o solventado el problema.

Yo entrego mi sistema "tal cual" ..

De todas formas mi "sistema" no es más que un ejemplo práctico de uso de sesiones aplicado al ejemplo típico: autentificación y gestión de usuarios.

Un saludo,

merolhack · #5 (**permalink**) 25/08/2006, 12:01

Bueno ya lo estoy usando, me voy a documentar bien sobre la seguridad en los foros de Joomla

Cluster · #6 (**permalink**) 25/08/2006, 12:28

Cita:

Iniciado por merolhack

Bueno ya lo estoy usando, me voy a documentar bien sobre la seguridad en los foros de Joomla

Que estás usando?

Un saludo,

teseedith · #7 (**permalink**) 28/08/2006, 09:40

La verdad apenas empece a utilizar php y mi sistema es muy basico. Hay muchas cosas que todavia no entiendo. Para ver si me puedes aclarar un poco más mi duda te mando el codigo de mis contraseñas
<?php
if (!isset($PHP_AUTH_USER)) {
header('WWW-Authenticate: Basic realm="INTRODUCE NOMBRE DE USUARIO Y CONTRASEÑA"');
header('HTTP/1.0 401 Unauthorized');
echo 'NOMBRE DE USUARIO O CONTRASEÑA INCORRECTA.';
exit;
}

$fich = file("passwords2.txt");
$i=0; $validado=false;
while ($fich[$i] && !$validado) {
$campo = explode("|",$fich[$i]);
if (($PHP_AUTH_USER==$campo[0]) && ($PHP_AUTH_PW==chop($campo[1]))) $validado=true;
$i++;
}

if (!$validado) {
header('WWW-Authenticate: Basic realm="Acceso restringido"');
header('HTTP/1.0 401 Unauthorized');
echo 'NOMBRE DE USUARIO O CONTRASEÑA INCORRECTA.';
exit;
}
echo "<script type='text/javascript'>document.location.href = 'MENUALMACEN.php';</script>";
?>

Otra duda que tengo el sistema va a utilizar muchos usuarios necesito crear sesiones y cookies
Gracias por el tiempo que te has tomado ayudandome y gracias de antemano por el que me sigas otorgando.

GatorV · #8 (**permalink**) 28/08/2006, 10:31

Realmente deberias de usar una base de datos para almacenar a tus usuarios y contraseñas (y encryptar las contraseñas en la bd) para prevenir que te puedan "hackear" tu sistema, asi lo haces mucho mas seguro.

Cluster · #9 (**permalink**) 28/08/2006, 10:55

El uso que haces de variables de servidor como $PHP_AUTH_USER no es seguro para nada ni compatible con servidores con "register_globals a OFF" (configuración de PHP).

Te recomiendo encarecidamente cambiar la autentificación que usas "HTTP" por una que gestione usuarios en BBDD y sesiones (por qué tu mismo indicas que necesitas administrar gran cantidad de usuarios).

En el link que te dejé por mi parte tienes un sistema "base" para que entiendas el concepto de "validación" y "autentificación" con algo de uso de sesiones aplicadas a este tema concreto. No quiero decir que lo uses "tal cual" si no te agrada .. pero toma nota de su base.

Un saludo,

teseedith · #10 (**permalink**) 29/08/2006, 16:38

He estado analizando el autentificador, realmente me va a servir mucho, ya le entendi como aplicarlo.Pero al querer dar de alta un nuevo usuario me marca el siguiente error, que estoy haciendo mal.
Incorrect integer value :"for column 'ID' at row 1
le hice modificaciones al codigo, y a la tabla pero no encuentro en donde esta el error
Gracias por la ayuda.

Cluster · #11 (**permalink**) 29/08/2006, 20:58

Cita:

Iniciado por teseedith

He estado analizando el autentificador, realmente me va a servir mucho, ya le entendi como aplicarlo.Pero al querer dar de alta un nuevo usuario me marca el siguiente error, que estoy haciendo mal.
Incorrect integer value :"for column 'ID' at row 1
le hice modificaciones al codigo, y a la tabla pero no encuentro en donde esta el error
Gracias por la ayuda.

Si, se nota que hicistes modificaciones al código y a la tabla de "usuarios" que maneja originalmente "Autentificator".

Tendrías que aportar el código que te quedó tras tus modificaciones y la estructura de la tabla de usuarios que modificastes.

Eso sí, en un tema nuevo por favor .. esto ya no tiene mucho que ver con el tema original (ya te decidistes por usar un mètodo en concreto y ahora tienes problemas con el uso de esa opción que tomastes).

Un saludo,