seguridad en sesiones

Pike · #1 (**permalink**) 06/09/2010, 16:20

A ver si puedo explicarme bien:
Cuando programas una web con sesiones, el usuario accede a una página privada o de miembros registrándose o logueándose previamente. Ahora bien, cualquier usuario con un mínimo de idea sabe que escribiendo la ruta en la consola se salta este formulario de login o de registro. Espero haberme explicado bien. Ej:

index/sesiones/login.php te logueas y accedes a index/sesiones/inicio.php

cualquier persona que sepa un poco puede acceder a tu página privada de usuarios escribiendo en la url la 2ª ruta.

Se que estoy hablando de algo básico, pero me gustaría saber como evitar esto, que si intentas escribir la segunda ruta index/sesiones/inicio.php te lleve a la página de login y no puedas atajar.

Saludos a rodos

abimaelrc · #2 (**permalink**) 06/09/2010, 16:56

Si lo hace es que no estás usando correctamente las sesiones. Porque para eso se crean para corroborar en cada página que esté logueado. Solo debes colocar un código que haga una verificación de si está logueado.

Código PHP:

Ver original<?php
session_start();
if(empty($_SESSION['foo'])){
    header('Location: login.php');
}

spider_boy · #3 (**permalink**) 06/09/2010, 16:58

Pues en todas tus páginas que quieras proteger, debes preguntar si el usuario está logueado.

Para eso, en inicio.php debes poner un código similar a este :

Código PHP:

Ver original// Me loguee en login.php, y envié todos los datos necesarios
// y creé una sesión llamada 'activo'
 
// Entonces trato de entrar a inicio.php, y pregunto si activo existe
// y tiene el valor necesario para reconocer que el usuario está logueado...
 
if(isset($_SESSION['activo']) && (int)$_SESSION['activo'] == 1) {
    echo 'Bienvenido!';
} else {
    echo 'No estás logueado, no puedes ver el contenido';
}

¿Entiendes la idea? Es realmente simple.

Edito : Me ganaron

.

Pike · #4 (**permalink**) 06/09/2010, 17:06

Perfectamente, gracias a los dos