el comprueba.php pasa sin validar

rompeguesos · #1 (**permalink**) 25/04/2009, 09:39

Hola estoy haciendo un sistema de login y cuando pongo sea lo que sea en los campos email y contraseña pasa a la pagina protegida sin revisar si el email y la contraseña son correctos a que se puede deber?
El codigo del comprueba.php es el siguiente:

Código PHP:

  <?php 
session_start(); 
include("../reg/config.php"); 
$login = $_POST['login']; 
$pass = $_POST['pass']; 
$query=mysql_query("SELECT * FROM usu WHERE email='$login'") or die(mysql_error());; 
if(mysql_num_rows($query)==0){ 
header("location: index.php?error=3"); 
exit; 
} else { 
$array=mysql_fetch_array($query); 
 
$password = sha1("CoriaWeb"); 
 
if($array["pass"]!=$password){ 
header("Location: index.php?error=7"); 
exit; 
 
$_SESSION["login"]=$login; 
$_SESSION["pass"]=$pass; 
$_SESSION["id"] = $array['id']; 
 
session_register(); 
header("Location: index.php"); 
exit; 
} 
} 
?>

Avatar810 · #2 (**permalink**) 25/04/2009, 10:06

prueba este codigo

Código PHP:

  <?php  
session_start();  
include("../reg/config.php");  
$login = $_POST['login'];  
$pass = $_POST['pass'];  
$qry="SELECT * FROM usu WHERE email='$login'"; 
echo $qry."<br>"; 
$result=mysql_query($qry) or die(mysql_error()); 
echo "Las filas encontradas son ".mysql_num_rows($result); 
if(mysql_num_rows($result)==0){  
header("location: index.php?error=3");  
exit;  
} else {  
$array=mysql_fetch_array($query);  
 
$password = sha1("CoriaWeb");  
 
if($array["pass"]!=$password){  
header("Location: index.php?error=7");  
exit;  
 
$_SESSION["login"]=$login;  
$_SESSION["pass"]=$pass;  
$_SESSION["id"] = $array['id'];  
 
session_register();  
header("Location: index.php");  
exit;  
}  
}  
?>

Y prueba el query que te muestra en pantalla en una consola.

rompeguesos · #3 (**permalink**) 25/04/2009, 10:14

ahora se queda en la ventana comprueba.php no pasa para adelante pero muestra esto:

SELECT * FROM usu WHERE email='aaaa'
Las filas encontradas son 0
Warning: Cannot modify header information - headers already sent by (output started at /mnt/web7/32/27/51920027/htdocs/coriaweb/usuarios/usu/comprueba.php:7) in /mnt/web7/32/27/51920027/htdocs/coriaweb/usuarios/usu/comprueba.php on line 11

el aaaa del email es lo que e puesto en la casilla email para probar

Me acabo de dar cuenta que ahora poniendo un email valido sale lo siguiente:

SELECT * FROM usu WHERE email='[email protected]'
Las filas encontradas son 1
Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /mnt/web7/32/27/51920027/htdocs/coriaweb/usuarios/usu/comprueba.php on line 14

Warning: Cannot modify header information - headers already sent by (output started at /mnt/web7/32/27/51920027/htdocs/coriaweb/usuarios/usu/comprueba.php:7) in /mnt/web7/32/27/51920027/htdocs/coriaweb/usuarios/usu/comprueba.php on line 19

¿Que pasos tengo que seguir ahora?

Avatar810 · #4 (**permalink**) 25/04/2009, 10:25

ok ahora pon este codigo

Código PHP:

  <?php   
session_start();   
include("../reg/config.php");   
$login = $_POST['login'];   
$pass = $_POST['pass'];   
$qry="SELECT * FROM usu WHERE email='$login'";  
//echo $qry."<br>";  
$result=mysql_query($qry) or die(mysql_error());  
//echo "Las filas encontradas son ".mysql_num_rows($result);  
if(mysql_num_rows($result)==0){   
header("location: index.php?error=3");   
exit;   
} else {   
$array=mysql_fetch_array($result);   
 
$password = sha1("CoriaWeb");   
 
if($array["pass"]!=$password){   
header("Location: index.php?error=7");   
exit;   
 
$_SESSION["login"]=$login;   
$_SESSION["pass"]=$pass;   
$_SESSION["id"] = $array['id'];   
 
session_register();   
header("Location: index.php");   
exit;   
}   
}   
?>

Los errores de header te salen pq se trata de utilizar despues de que ya se mando imprimir algo a pantalla

y el segundo error es pq no cambie una variable en el fetch (ya esta corregido para esta prueba)

rompeguesos · #5 (**permalink**) 25/04/2009, 10:27

Vale sale exactamente lo mismo del principio que ponga lo que ponga en las casillas de email y contraseña pasa a la pagina privada.
A que se debera?

SergeMedina · #6 (**permalink**) 25/04/2009, 10:31

Código PHP:

  session_start(); 
include("../reg/config.php"); 
$login = $_POST['login']; 
$pass = $_POST['pass']; 
$qry="SELECT * FROM usu WHERE email='$login'"; 
//echo $qry."<br>"; 
$result=mysql_query($qry) or die(mysql_error()); 
//echo "Las filas encontradas son ".mysql_num_rows($result); 
if(mysql_num_rows($result)==0){ 
    header("location: index.php?error=3"); 
    exit; 
} else { 
    $array=mysql_fetch_array($result); 
    $password = sha1("CoriaWeb"); 
    if($array["pass"]!=$password){ 
        header("Location: index.php?error=7"); 
        exit; 
    }else{ 
        $_SESSION["login"]=$login; 
        $_SESSION["pass"]=$pass; 
        $_SESSION["id"] = $array['id']; 
        session_register(); 
        header("Location: index.php"); 
        exit; 
    } 
}

rompeguesos · #7 (**permalink**) 25/04/2009, 10:38

Siento mucho esto pero me acabo de dar cuenta que os he hecho perder el tiempo ya que el problema era en el redireccionamiento del error que se iva a la pagina index.php y para donde tenia que ir es a login.php para volver al formulario de entrada y volver a rellenar los datos el codigo a quedado asi:

Código PHP:

  <?php 
session_start();  
include("../reg/config.php");  
$login = $_POST['login'];  
$pass = $_POST['pass'];  
$qry="SELECT * FROM usu WHERE email='$login'";  
//echo $qry."<br>";  
$result=mysql_query($qry) or die(mysql_error());  
//echo "Las filas encontradas son ".mysql_num_rows($result);  
if(mysql_num_rows($result)==0){  
    header("location: login.php?error=3");  
    exit;  
} else {  
    $array=mysql_fetch_array($result);  
    $password = sha1("CoriaWeb");  
    if($array["pass"]!=$password){  
        header("Location: login.php?error=7");  
        exit;  
    }else{  
        $_SESSION["login"]=$login;  
        $_SESSION["pass"]=$pass;  
        $_SESSION["id"] = $array['id'];  
        session_register();  
        header("Location: index.php");  
        exit;  
    }  
}   
?>

Ahora si comprueba que la direccion de email exista pero no comprueba la contraseña ya que la pongo bien y me manda el error de que la contraseña no es correcta. ¿Me falta algo en el codigo?

Avatar810 · #8 (**permalink**) 25/04/2009, 10:40

no tiene razon de ser,
segun logro ver todos mandan a index.php, no sera un error con el manejo del parametro error??
Supongo que en index estas reciviendo el error con $_GET["error"]

otra cosa que no habi apuesto atencion la funcion para detener la ejecuciones
exit(); con todo y parentesis.

SergeMedina · #9 (**permalink**) 25/04/2009, 10:41

Será que esta linea:

Código PHP:

  $password = sha1("CoriaWeb");

debe ir asi

Código PHP:

  $password = sha1($pass);

Avatar810 · #10 (**permalink**) 25/04/2009, 10:45

No, pq si estas poniendo un correo no valido debe enviarte al index.php?error=3; si pones correo valido pues si seria necesario el cambio pero eso es SOLO SI es correo valido

rompeguesos · #11 (**permalink**) 25/04/2009, 10:56

Haber creo que el problema lo tengo en la encriptacion de la contraseña. Al poner la contraseña y darle a enviar se me va al login.php?error=7.

El codigo de registro de usuarios reg.php es este:

Código PHP:

  <?php 
include("config.php"); 
// Preguntaremos si se han enviado ya las variables necesarias  
if (isset($_POST["email"])) {  
$correo = $_POST["email"]; 
$password = $_POST["password"];  
$cpassword = $_POST["cpassword"];  
 
//recoger direccion ip 
$ip = $_SERVER['REMOTE_ADDR']; 
 
// Hay campos en blanco  
if($password==NULL|$cpassword==NULL|$correo==NULL) {  
header("location: formreg.php?error=1");  
}else{  
 
//Validar direccion de email 
if (!preg_match( 
'/^[^0-9][a-zA-Z0-9_]+([.][a-zA-Z0-9_]+)*[@][a-zA-Z0-9_]+([.][a-zA-Z0-9_]+)*[.][a-zA-Z]{2,4}$/', 
$correo)) { 
header("location: formreg.php?error=2");  
}else{  
 
//Minimo de caracteres en campo contraseña 
if (strlen($password)<4) 
{ 
header("location: formreg.php?error=3"); 
  // no tiene mas de 4 caracteres 
}else{ 
 
// ¿Coinciden las contraseñas?  
if($password!=$cpassword) {  
header("location: formreg.php?error=4"); 
}else{  
 
//encriptar contraseña 
$pass_encriptado = sha1($pass); 
$pass = sha1(CoriaWeb); 
$password = ($pass . $pass_encriptado); 
 
// Comprobamos si la cuenta de correo ya existe  
$checkemail = mysql_query("SELECT email FROM usu WHERE email='$correo'");  
$email_exist = mysql_num_rows($checkemail);  
 
if ($email_exist>0) {  
header("location: formreg.php?error=5");  
}else{ 
 
//Todo parece correcto procedemos con la inserccion  
$query = "INSERT INTO usu (password, email, ip, fecha) VALUES('$password','$correo','$ip', NOW())";  
mysql_query($query) or die(mysql_error());  
echo "El usuario $correo ha sido registrado de manera satisfactoria."; 
}  
}  
}  
}   
} 
} 
?>

El codigo de comprobacion del login es comprueba.php y es este:

Código PHP:

  <?php 
session_start();  
include("../reg/config.php");  
$login = $_POST['login'];  
$pass = $_POST['pass'];  
$qry="SELECT * FROM usu WHERE email='$login'";  
//echo $qry."<br>";  
$result=mysql_query($qry) or die(mysql_error());  
//echo "Las filas encontradas son ".mysql_num_rows($result);  
if(mysql_num_rows($result)==0){  
    header("location: login.php?error=3");  
    exit;  
} else {  
    $array=mysql_fetch_array($result);  
    $pass_encriptado = sha1($pass); 
    $pass = sha1(CoriaWeb); 
    $password = ($pass . $pass_encriptado);  
    if($array["pass"]!=$password){  
        header("Location: login.php?error=7");  
        exit;  
    }else{  
        $_SESSION["login"]=$login;  
        $_SESSION["pass"]=$password;  
        $_SESSION["id"] = $array['id'];  
        session_register();  
        header("Location: index.php");  
        exit;  
    }  
}   
?>

¿Que fallo estoy cometiendo?

confirmado es la encriptacion, e quitado en cada documento las 3 lineas de encriptacion que tenia y funciona todo perfectamente. ¿Me podeis ayudar a encriptar las contraseñas a la hora de registrarse el usuario y a la hora de hacer login?

Avatar810 · #12 (**permalink**) 25/04/2009, 11:15

esta parte no le entiendo a la logica

//encriptar contraseña
$pass_encriptado = sha1($pass);
$pass = sha1(CoriaWeb);
$password = ($pass . $pass_encriptado);

No esta definido pass
el parametro de sha1 no tiene comillas
pq los concatenas?

rompeguesos · #13 (**permalink**) 25/04/2009, 11:17

es como lo vi en un ejemplo por google :S

Avatar810 · #14 (**permalink**) 25/04/2009, 11:23

jeje, supongo que lo que quitaste es lo que no entendia...

Pues yo nunca he usado el sha como emcriptacion, yp uso el md5 que en principio es equivalente solo que esto ya no se puede desencriptar (aunque esa es la idea al manejar contraseñas)

donde estaba la encriptacion coloca

Código PHP:

  $password = md5($password);

con eso ya se almacenara una cadena en la BD

en el de validacion del login

Código PHP:

  <?php    
session_start();    
include("../reg/config.php");    
$login = $_POST['login'];    
$pass = $_POST['pass'];    
$qry="SELECT id, password FROM usu WHERE email='$login'";   
//echo $qry."<br>";   
$result=mysql_query($qry) or die(mysql_error());   
//echo "Las filas encontradas son ".mysql_num_rows($result);   
if(mysql_num_rows($result)==0){    
header("location: index.php?error=3");    
exit();    
} else {    
$array=mysql_fetch_array($result);    
 
if($array["password"]!=md5($pass)){    
header("Location: index.php?error=7");    
exit();    
 
$_SESSION["login"]=$login;    
$_SESSION["id"] = $array['id'];    
 
session_register();    
header("Location: index.php");    
exit();    
}    
}    
?>

Aqui te cambie el select (no es muy recomendable usar *... esto solo por buenas practicas de programacion)
hice el cambio en el if validando el password con md5

y quite la session de password ESTO ES TOTALMENTE INSEGURO

rompeguesos · #15 (**permalink**) 25/04/2009, 11:29

ya se me encripta en la base de datos, pero... solo comprueba que el email sea correcto pero si no indicas contraseña sigue pasando la validacion no se porque......

Es muy raro no?

Editado: Otra vez pasa lo mismo que sin indicar un email valido accede... :S

Avatar810 · #16 (**permalink**) 25/04/2009, 11:39

osea como??
en la BD el campo password esta *edf47sd5gs7rgf2s5d7g24srg782srd (o algo similar) ??

a ver que es lo que te imprime con el codigo

Código PHP:

  <?php    
session_start();    
include("../reg/config.php");    
$login = $_POST['login'];    
$pass = $_POST['pass'];    
$qry="SELECT id, password FROM usu WHERE email='$login'";   
//echo $qry."<br>";   
$result=mysql_query($qry) or die(mysql_error());   
//echo "Las filas encontradas son ".mysql_num_rows($result);   
if(mysql_num_rows($result)==0)
{    
    //header("location: index.php?error=3");    
    echo "Error: No existe el correo electronico";
    exit();    
} 
else 
{    
    $array=mysql_fetch_array($result);    
    if($array["password"]!=md5($pass))
    {    
        //header("Location: index.php?error=7");    
        echo "Error: El password no es igual";
        exit();    
    }
    else
    {
        echo "El correo existe y el password es igual";
        $_SESSION["login"]=$login;    
        $_SESSION["id"] = $array['id'];    
        //header("Location: index.php");    
        exit();    
    }    
}    
?>

has prueba con
- correo no valido y pass no valido
- correo no valido y pass valido
- correo valido y pass no valido
- correo valido y pass valido

rompeguesos · #17 (**permalink**) 25/04/2009, 11:45

probado.... El email va bien si lo pongo correcto da correcto y si lo pongo mal da como que no existe. La contraseña ponga lo que ponga dice contraseña no es igual :D

Si la contraseña en la base de datos sale de ese estilo que indicas. El unico problema es la contraseña que no hay modo de que la valide no se porque...

Avatar810 · #18 (**permalink**) 25/04/2009, 11:59

vamos a hacer lo siguiente

Agrega un cliente/usuario o como lo llames nuevo

datos
mail [email protected]
pass 123456

Escribeme aqui la cadena que esta en la BD encriptada

edita estas lineas en el login
$array=mysql_fetch_array($result);
echo "la contraseña es '".$pass."' <br>encriptada es '".md5($pass)."'<br>";
if($array["password"]!=md5($pass))

y despues has la prueba de login con esos datos y vemos que pasa

rompeguesos · #19 (**permalink**) 25/04/2009, 12:02

mira sale esto:

la contraseÃ±a es '123456'
encriptada es 'e10adc3949ba59abbe56e057f20f883e'
Error: El password no es igual

Avatar810 · #20 (**permalink**) 25/04/2009, 12:05

y en la BD que esta escrito??

rompeguesos · #21 (**permalink**) 25/04/2009, 12:10

nooo me acabo de dar cuenta que a cambiao el texto y ahora pone:

El correo existe y el password es igual.

Cual es el siguiente paso?

Avatar810 eres mi idoloooo :D ya lo tengo funcionando perfectamente te agradezco mucho tu ayuda ya e reestablecido el codigo anterior con las nuevas mejoras y ya esta funcionando.

Muchisimas gracias si te puedo ayudar en algo aqui estoy.

SergeMedina · #22 (**permalink**) 25/04/2009, 12:18

Cuenta los caracteres del password en la tabla de BD. Fijate que sean 32 (si usas md5), si no lo son probablemente la longitud de caracteres de la tabla de tu BD sea menor a esta cantidad. Si usas sha1 investiga la longitud del mensaje encriptado.

rompeguesos · #23 (**permalink**) 25/04/2009, 12:20

si si tiene 32 en el campo ya lo cambie me di cuenta antes tal como comente funciona perfectamente muchisimas gracias a todos sois los mejores

Avatar810 · #24 (**permalink**) 25/04/2009, 12:22

ke bien que funciona, pues de hecho si estoy a punto de abrir tema pero es de XML con PHP, a ver quien me puede ayudar

saludos

rompeguesos · #25 (**permalink**) 25/04/2009, 16:03

xml? tendre que echar algun vistasillo a algun manual o algo ya que ando perdiillo en estas cosas :D