Foros del Web » Programando para Internet » PHP »

[AYUDA]Seguridad al momento de crear variables de sesion de Administradores

Estas en el tema de [AYUDA]Seguridad al momento de crear variables de sesion de Administradores en el foro de PHP en Foros del Web. Hola que tal, soy algo nuevo en esto y tengo algunas dudas, las variables de session se guaran en la PC de cada uno o ...
  #1 (permalink)  
Antiguo 05/06/2009, 08:18
 
Fecha de Ingreso: octubre-2008
Mensajes: 112
Antigüedad: 11 años, 4 meses
Puntos: 1
Pregunta [AYUDA]Seguridad al momento de crear variables de sesion de Administradores

Hola que tal, soy algo nuevo en esto y tengo algunas dudas, las variables de session se guaran en la PC de cada uno o en el servidor???, porque pregunto esto...

Estoy haciendo unos modulos en los cuales hay usuarios y administradores, pues bien, tengo un formulario de login el cual si es correcto el chequeo de usuario y contraseña encriptada por MD5, guarda la variable $_SESSION['valid_user'] esta variable queda guardada y luego los administradores en algunas paginas tienen opciones especiales si son administradores. Entonces lo que hago es chequear si ese usuario guardado en 'valid_user' esta en la base de datos y tiene el campo esdamin=1. pero... no lo chequeo con contraseña. se los muestro.

Código PHP:
Ver original
  1. function admin_loged($admin)
  2. {
  3.     $conn=conecta_db();
  4.     if (!$conn)
  5.         return false;
  6.    
  7.     $result=mysql_query("SELECT * FROM admin WHERE admin='$admin'") or die (mysql_error());
  8.    
  9.     if (!$result)
  10.         return false;
  11.    
  12.     if (mysql_num_rows($result)>0)
  13.         return true;
  14.     else
  15.         return false;
  16.  
  17. }

Bien entonces mi duda surgio pensando... y si la variable de sesion se guarda en la pc y no en el server, alguien puede encontrar la forma de cambiar el contenido de dicha variable, y si le pone el contenido del nombre de un admin pasa el chequeo y esta logueado como tal...

por lo tanto, deberia crear tambien la variable de sesion 'pass' y guardarla para que sea mas seguro?

en caso de decirme que si que la guarde creen que debiera guardarla ya encriptada en md5 y o dejarla sin encriptar y que en la consulta sql realice la conversion?

Saludos a todos.
  #2 (permalink)  
Antiguo 05/06/2009, 08:25
Avatar de By_George  
Fecha de Ingreso: abril-2009
Ubicación: localhost
Mensajes: 629
Antigüedad: 10 años, 10 meses
Puntos: 19
Respuesta: [AYUDA]Seguridad al momento de crear variables de sesion de Administradore

las variables de sesion se guardan en el servidor, las que se guardan en el cliente son la cookies por eso es mas recomendable usar variables de sesion a cookies en un sistema de logueo, para asegurar un poco mas esto es bueno que filtraras tus variables, en este tema se se habla sobre una duda similar
__________________
La estadística es una ciencia que demuestra que si mi vecino tiene dos coches y yo ninguno, los dos tenemos uno.
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 07:51.