Sugerencias para envio de datos de formulario a otro formulario

KenMasters · #1 (**permalink**) 17/04/2005, 14:32

Supongamos que tengo un login.htm donde se ingrese el user y pass por
form se envian a "panel.php?func=auth" en donde se hace la comprobacion
de user y pass el mismo "panel.php?func=auth" genera luego de hacer la
comprobacion un pequeño panel donde hay diferentes opciones.. ahora!
una de las opciones que hay en el panel es para revisar la cuenta de
mail. Pero para poder revisar la cuenta de mail se necesitan enviar los
datos de usuario y password de forma POST, y la unica solucion hasta ahora
que eh encontrado es.. algo asi..

Código PHP:

  <? 
function auth() {  
$usuario= $_POST["usuario"];  
$password = $_POST["password"];  
... ' aqui se hace la comprobacion de user y pass de login.htm 
... ' si es correcto genera el panel donde estan las opciones  
... ' como revisar mail 
?> 
<form name="viewmail" method="post" action="loginMail.asp"> 
<input type="hidden" name="usuario" value="<? $usuario ?>@host.com"> 
<input type="hidden" name="contraseña" value="<? $password ?>"> 
</form> 
<a href="javascript:document.viewmail.submit();">Entrar a mail </a> 
<? }  
... ' acaba la function auth() y siguen las demas funciones

PERO!!! no es seguro ya que si ven el codigo de "panel.php?func=auth"
aparece el usuario y contraseña como codigo html y no es seguro, alguna
sugerencia seria buena para conocer

sebtev · #2 (**permalink**) 17/04/2005, 15:03

utiliza la funcion md5() para encriptar la contraseña. entonces lo q se vería si alguien ve el código fuente de la página no podría descifrarlo

SAGITARIO · #3 (**permalink**) 17/04/2005, 15:35

A lo mejor este link te puede ayudar !!!

http://www.forosdelweb.com/showthrea...ight=sagitario

qbanos.com · #4 (**permalink**) 17/04/2005, 15:47

qué hace la función md5() ... ???.. ya veo que encriptar, pero podrías argumentar... ???...

cómo funciona esto de encritpar una contraseña... ??.. me imagino que uno debe encriptarla con javascript antes de enviarla al servidor,,, porque si la envía al servidor sin encriptar,, para luego encriptarla con PHP y guardarla en la base de datos no hay seguridad me imagino..

saludos.
leo.

KenMasters · #5 (**permalink**) 17/04/2005, 16:10

muchas gracias por las ayudas, me parece muy bien usar el md5 para que la contraseña este encriptada y ayude a dar más seguridad.. en caso habria otra manera para enviar los datos de ya de antemano logeados a otra pagina como es el caso de loginMail.asp (require los datos ser enviados por POST), desde php ó la unica manera seria la que doy a conocer usando input's hidden.. gracias

elmaster · #6 (**permalink**) 17/04/2005, 17:12

No es por ser aguafiestas, pero no te sirve de nada encriptar la contraseña, porque vas a postear la contraseña encriptada a loginMail.asp y no va a saber qué hacer co ella. O mejor dicho, la contraseña no va a validar ni a garrote en el webmail.

Hasta ahora no se me ocurre una forma más segura que poner la contraseña plana en la página y que funcione.

Saludos

elmaster · #7 (**permalink**) 17/04/2005, 17:15

La única salvedad a lo anterior dicho es que loginMail.asp esté a tu alcance, y lo puedas modificar para que acepte por entrada el md5 de la contraseña.

Pero aún así vas a estar en la misma, pues bastaría con que alguien conozca el md5 para poder entrar.

Saludos!

elmaster · #8 (**permalink**) 17/04/2005, 17:19

Perdón, estoy pensando a intervalos, tendría que editar el primer post pero esto es más rápido.

Yo intentaría hacer un script que se encargue del login al webmail, que postee utilizando CURL el usuario y contraseña a loginMail.asp para levantar una sesión en el webmail, y que luego de levantar una sesión, capture el session_id y redirija al cliente al webmail colocándolo dentro de la sesión creada, sea armando una URL con el session_id incluído o creando en el cliente un cookie con el session_id. Esto va a depender de cómo trabaje loginMail.asp.

Esto puede funcionar en el caso de que el webmail no esté controlando la dirección IP desde la que se logea el usuario.

Todas las demás soluciones son del lado del cliente y siempre van a revelar la contraseña.

Saludos!

Cluster · #9 (**permalink**) 18/04/2005, 07:52

Sería buena idea usar cURL ... y si es posible en conexión segura (SSL) .. pero todo depende de como funcione ese ".asp" .. Por lo menos con cURL se pueden gestionar cookies comodamente (por si las genera ese webmail).

más info:
www.php.net/curl

Un saludo,

elmaster · #10 (**permalink**) 18/04/2005, 08:26

La verdad que CURL es un sueño. Se puede hacer todo lo que hace un navegador web.

En este caso, si no puede redirijir al navegador del cliente a la sesión, por algún control de dirección IP, podría hasta hacer una especie de proxy transparente para la sesión conectándose por CURL al webmail y sirviendo los resultados al navegador. Ya sería medio complicado pero factible.

Saludos!