Crear sistema de codigo de seguridad

Linit · #1 (**permalink**) 13/12/2006, 15:28

hola a todos, tengo un problema poseo un sistema de clasificado en la web, pero desde hace como quince dias me empezar a colocar demasidados clasificados repetidos lo que creo es que me han automatizados el proceso de ingresar los datos.

Ahora he pensado en solucionar eso con un sistema que genere un código de seguridad mediante una imagen que tenga que ser confirmada y es aquí donde necesito de la ayuda de este foro, donde puedo conseguir información al respecto o como puedo evitar que me automaticen el proceso de ingresar clasificados.

darkgaze · #2 (**permalink**) 08/02/2007, 14:39

Hola Linit. Yo tengo el mismo problema ahora. Tengo un spammer molestandome continuamente.

Mira. he buscado como loca. He encontrado un codigo php que genera una imagen con N digitos (en el ejemplo son 4). Quería unirme al post para hacer una pregunta y a ver si nos sirve a los dos:

HOLA CHICOS. Tengo este codigo. Lo dejo intacto para respetar la propiedad del mismo. El problema que tengo lo cuento despues del codigo:

Código PHP:

  <?php  
    /* 
         
        El número está encryptado en Base64. 
        Ejemplo: 
            Para el número 1542, $key valdría: MTU0Mg== 
             
        Obtener números usando funciones de Base64: 
            Para codificar: base64_encode() 
            Para decodificar: base64_decode() 
             
        Uso del script: 
            <img src="imagen.php?key=MTU0Mg=="> 
             
            o bien: 
             
            http://localhost/imagen.php?key=MTU0Mg== 
             
            Siendo "imagen.php" es script contendor del código citado en este archivo. 
             
        Dudas? 
            -> http://www.php.net/manual/es/ref.image.php 
            -> http://www.php.net/manual/es/function.base64-encode.php 
            -> http://www.php.net/manual/es/function.base64-decode.php 
            -> http://www.php.net/manual/es/function.header.php 
 
        ************************************************************** 
        * Ejemplo escrito por: J. Arturo Ruz C. 
        * Correo electrónico: a r t u r o r u z @ m s n . c o m 
        * No olviden escribir e intercambiar ideas ;) 
        ************************************************************** 
 
    /******************************************************************************************************** 
    * IMPORTANTE: Este ejemplo está adecuado para el uso de 4 caracteres como máximo para la cadena "$key". * 
    ********************************************************************************************************/ 
     
    if(!isset($_GET['key'])) { $n=rand(1000,9999); } else { $n = base64_decode($_GET['key']); } 
     
    // Se establece el cabecero del documento, en este ejemplo será del tipo Imagen GIF 
    // Nota: El archivo GIF tiene mejor compresión ;) 
    header('Content-Type: image/gif'); 
    // Se genera el área del gráfico 
    $grafico = imagecreate(70, 30); 
    // El primer color establecido será el color de fondo 
    $fondo = imagecolorallocate($grafico, 0, 0, 0); 
    // El siguiente color establecido será el color del texto 
    $color = imagecolorallocate($grafico, 255, 255, 255); 
    // Se establece el margen inicial para cada caracter escrito 
    $margen = 5; 
    // Se obtiene cada caracter de la cadena usando el loop for() 
    for($x = 0; $x < strlen($n); $x++) { 
        // Se extrae la cadena usando la función substr() 
        $c = substr($n,$x,1); 
        // La inclinación será 10 o -10 segun sea si el número de caracter es par o no 
        if(($x % 2)==0) { $rend = 10; } else { $rend = -10; } 
        // Se escribe el caracter en el gráfico 
        imagettftext($grafico, 20, $rend, $margen, 22, $color, 'musich.ttf', $c); 
        // Se incrementa el margen del siguiente caracter a escribir, en caso de existir 
        $margen += 16; 
    } 
    // Se obtiene el gráfico para mostrar en el navegador 
    imagegif($grafico); 
    // Destruye la imagen creada liberando la memoria 
    imagedestroy($grafico); 
     
     
?>

El problema que se me plantea (no me conesta el susodicho autor, por eso pregunto aquí, pues me corre algo de urgencia!) es:

arriba en los comentarios reza lo siguiente:

<img src="imagen.php?key=MTU0Mg==">

Si cargo la pagina Imagen sale perfectamente.

Si pongo una imagen como pone en ese ejemplo no sale. NO SALE. Mi pregunta es : qué demonios está pasando por variable?? MTUOMG no esta en base64 como dice el autor?, entonces porqué pasa una variable CONCRETA? no debería generarse aleatoriamente? no entiendo porqué mete esta variable.

No entiendo porqué si cargo la pagina imagen.php sale y genera aleatoriamente numeros, y si pongo una imagemn con la etiqueta IMG en una pagina php, y con el archivo en la misma carpeta, no sale??

Porfavor, ayudadnos (a los dos :) )

darkgaze · #3 (**permalink**) 08/02/2007, 14:53

Creo que ese key hay qeu generarlo cada vez... pues vaya vaya...

Lo que si me sale continuamente es la siguiente linea:

Warning: session_start(): Cannot send session cookie - headers already sent by (output started at comentarios.php:10) in (.....)/comentarios.php on line 16

He encontrado otra pagina util, pero el codigo no me genera nada. Es mas, me repite esta linea de codigo todo el rato O_O

http://codigosweb.net/foro/index.php?topic=207.0?wiki

darkgaze · #4 (**permalink**) 08/02/2007, 15:10

Ya esta! Lo he arreglado. era una chorrada. Estaba puesto al inicio el numero generado así:

Código PHP:

   if(!isset($_GET['key'])) { $n=rand(1000,9999); } else { $n = base64_decode($_GET['key']); }

O sea, que si ponemos variable en

<img src="imagen.php?key=MTU0Mg==">

Key es MTU0Mg==

si no ponemos nada entonces genera él un numero.

He quitado la primera posibilidad. Así que, Linit. En definitiva:

crea un archivo php qeu se llame imagen.php

y le metes este codigo (un archivo vacío, quitale cabeceras html y demás):

Código PHP:

  <?php  
 
/*      ************************************************************** 
        * Ejemplo escrito por: J. Arturo Ruz C. 
        * Correo electrónico: a r t u r o r u z @ m s n . c o m 
        * No olviden escribir e intercambiar ideas ;) 
        ************************************************************** 
*/ 
 
    //genera un numero aleatorio de 4 cifras 
     $n=rand(1000,9999); 
 
    // Se establece el cabecero del documento, en este ejemplo será del tipo Imagen GIF 
    header('Content-Type: image/gif'); 
    // Se genera el área del gráfico 
    $grafico = imagecreate(70, 30); 
    // El primer color establecido será el color de fondo 
    $fondo = imagecolorallocate($grafico, 0, 0, 0); 
    // El siguiente color establecido será el color del texto 
    $color = imagecolorallocate($grafico, 255, 255, 255); 
    // Se establece el margen inicial para cada caracter escrito 
    $margen = 5; 
    // Se obtiene cada caracter de la cadena usando el loop for() 
    for($x = 0; $x < strlen($n); $x++) { 
        // Se extrae la cadena usando la función substr() 
        $c = substr($n,$x,1); 
        // La inclinación será 10 o -10 segun sea si el número de caracter es par o no 
        if(($x % 2)==0) { $rend = 10; } else { $rend = -10; } 
        // Se escribe el caracter en el gráfico 
        imagettftext($grafico, 20, $rend, $margen, 22, $color, 'musich.ttf', $c); 
        // Se incrementa el margen del siguiente caracter a escribir, en caso de existir 
        $margen += 16; 
    } 
    // Se obtiene el gráfico para mostrar en el navegador 
    imagegif($grafico); 
    // Destruye la imagen creada liberando la memoria 
    imagedestroy($grafico); 
     
?>

Y ahora podrás utilizar la imagen en cualquier pagina que este en la carpeta donde esta imagen.php, o poniendole otra ruta (pepe/imagen.php) si está en otra carpeta:

<img src="imagen.php">

Ahora para verificar que meten el código correcto hay que crear un archivo llamado verificar.php...

pero he cerrado la ventana. un momento que lo busco.

Ala. que facil. ^_^

DeeR · #5 (**permalink**) 08/02/2007, 16:00

Se conocen como Captcha
En la red hay muxos sitios que hablan al respecto y su implementacion en PHP. Hay Clases y Funciones en esos sitios como implementar un Captcha.

Lo otro que funciona muy bien, es mantener un orden de Flood, es decir, ejemplo que una IP solo puede ingresar un comentario en 5 minutos. Lo cual se puede hacer facilmente.

En Pseudocodigo seria :

1.- Antes de Insertar un Registro, comprobar si existe algun msg de la IP y la Hora Actual - 5 minutos
2.- Si no hay Registros con la condicion anterior , insertar el registro en la bd , guardar la IP y la hora
3.- SI hay Registro, un MSG de Flood

De todas formas estoy preparando un pequeño Articulo que habla estos dos temas, el Captcha y Flood

Luego respondo mas :P

darkgaze · #6 (**permalink**) 08/02/2007, 16:55

Ahora tengo un problema. necesito que me ayudéis en el asunto de verificar:

Primero tengo el codigo de imagen.php, como lo he explicado antes.

Código PHP:

  <?php  
     
    $n=rand(1000,9999);     
    // Se establece el cabecero del documento, en este ejemplo será del tipo Imagen GIF 
    // Nota: El archivo GIF tiene mejor compresión ;) 
    header('Content-Type: image/gif'); 
    // Se genera el área del gráfico 
    $grafico = imagecreate(70, 30); 
    // El primer color establecido será el color de fondo 
    $fondo = imagecolorallocate($grafico, 0, 0, 0); 
    // El siguiente color establecido será el color del texto 
    $color = imagecolorallocate($grafico, 255, 255, 255); 
    // Se establece el margen inicial para cada caracter escrito 
    $margen = 5; 
    // Se obtiene cada caracter de la cadena usando el loop for() 
    for($x = 0; $x < strlen($n); $x++) { 
        // Se extrae la cadena usando la función substr() 
        $c = substr($n,$x,1); 
        // La inclinación será 10 o -10 segun sea si el número de caracter es par o no 
        if(($x % 2)==0) { $rend = 10; } else { $rend = -10; } 
        // Se escribe el caracter en el gráfico 
        imagettftext($grafico, 20, $rend, $margen, 22, $color, 'musich.ttf', $c); 
        // Se incrementa el margen del siguiente caracter a escribir, en caso de existir 
        $margen += 16; 
    } 
    // Se obtiene el gráfico para mostrar en el navegador 
    imagegif($grafico); 
    // Destruye la imagen creada liberando la memoria 
    imagedestroy($grafico); 
     
     
?>

Luego tengo el formulario que lo envía:

Código:

	
<form name="contacto" action="nuevoComentario.php" method="post">
<table width="359" border="0">
  <tr>
	<th width="78" scope="row">Soy:</th>
	<td width="271"><input type="text" name="nombre"></td>
  </tr>
  <tr>
	<th scope="row">y digo: </th>
	<td><textarea rows="3" cols="30" name="texto"></textarea></td>
</tr>
  <tr>
	<th scope="row">Código de seguridad:</th>
	<td>Copia en el cuadro de texto los carácteres que ves en la imágen.
        <img src="imagen.php"><br>
        <input type="text" name="texto_ingresado"></td>
 </tr>		  
 <tr>
  <td><input type="submit" name="buscar" value="Enviar" border="0"></td>
 </tr>
</table>

La pagina nuevo_comentario.php recoge los datos, saca las variables. puede tambien sacar las variables del texto que escribe el usuario (texto_ingresado)...

pero... teniendo estas cosas. Como demonios saco el código que se generó en el rand de imagen.php???

No podéis ayudarme a añadir algunas cosas para poder pasar ese código y compararlos en la pagina de validación?

Es lo unico que me resta hacer!

DeeR · #7 (**permalink**) 08/02/2007, 22:35

En imagen.php

ademas de mostrar la imagen con el captcha, lo debe guardar en una tabla en tu bd, en la cual necesitas al menos estos campos, id , palabra, ip , hora

Entonces, cada vez que se genera una imagen, la palabra que contiene , debe ser ingresada como un nuevo registro en la tabla.

Entonces luego el script que procesa el formulario, debe consultar el ultimo registro ingresado por la IP, y comparar si lo escrito por el usuario es igual a lo guardado en la bd. si es igual, segimos procesando el formulario.

Si tienes mas dudas, te podemos ir ayudando paso a paso con el codigo.

darkgaze · #8 (**permalink**) 09/02/2007, 03:15

con mysql??.... madre.... no se podría intentar evitar usar mysql para eso?...
además no se hacer lecturas de ip y todo eso. He vist tutoriales qeu guardan la variable de sesión. Solamente quería saber eso. Prefiero no meterme con BD. bastante caña tuve que meterle .

oso96_2000 · #9 (**permalink**) 09/02/2007, 14:10

Pues eso, usa sesiones. Generas una variable de sesion en la pagina que genera la imagen:

$_SESSION['codigo'] = $codigo;

Y luego, en la pagina donde recoges los datos del formulario, revisas que el codigo que haya puesto el usuario en el campod e texto, sea igual al que tienes en la sesion.. si no es igual, entonces das mensaje de error

darkgaze · #10 (**permalink**) 11/02/2007, 02:30

claro. eso es lo lógico.

lo que no se es como demonios recojo esa variable de sesión ...

(o será que lo que pasa es que no se usarlo, y ya está :) ).

MI pregunta es:

Este comando y esta nueva variable ... permanece en TODAS LAS PAGINAS? puedo recogero en cualquier página?

gracias (y perdona, no contestar, que no recibí ningun aviso por nuevos posts)

darkgaze · #11 (**permalink**) 11/02/2007, 02:40

He estado probando. Tengo una pregunta, aparte de la otra.

He puesto session_start() al principio de la pagina de comentarios
allí esta imagen.php. Cuando se carga imagen.php se genera la imagen y se mete. ...

cuando intentas enviar, la pagina validar.php lleva al final un session_close() y session_destroy() o una cosa así. Ok.

Pero... ¿ y si el usuario no ve bien la imagen y le da a reiniciar?

no hay session_close() en ningun lado de esa pagina. se abrirán dos sesiones? no me interesa, pues. como podría hacer??

darkgaze · #12 (**permalink**) 11/02/2007, 02:46

En la pagina verificar.php no hay nada mas que esto que os pongo abajo, y he probado a poner
echo $captcha_texto; y no sale nada. eso es que no lo pilla... ???

El n está en la pagina de comentarios, generada con un random de esta forma como me dijisteis:

$_SESSION['n'] = rand(1000,9999);

Código PHP:

  <? 
 
$texto_ingresado = $HTTP_POST_VARS["texto_ingresado"]; 
$captcha_texto = $HTTP_SESSION_VARS["n"]; 
 
if ($texto_ingresado == $captcha_texto) { 
echo "Usted ingreso el codigo correctamente."; 
} else { 
echo "El texto ingresado no coincide. Por favor intentelo de nuevo!"; 
} 
 
session_unset(); 
session_destroy(); 
 
?>

Por qué no lo capta?...

arturoruz · #13 (**permalink**) 07/02/2008, 00:57

Hola a todos, mi nombre es Arturo Ruz alias "El susodicho"... como sea... un amigo me paso esta liga y aquí estoy trayendo conmigo lo que espero sea la solución a sus problemas...

Es un minimini-howto, y va de 5 pasitos...

PASO 1: Tener instalado en su sistema o servidor las extensiones necesarias para la creación de gráficos y el uso de sesiones.

Pueden utilizar para su desarrollo y pruebas, un paquetito muy bueno llamado XAMPP que trae preparado APACHE, PHP, MYSQL, FTPd, PERL, entre otras cosas, pero lo importante es que ya tiene configurado los módulos (extensiones) que requerirán para el uso correcto del script.

Una ves instalado PHP en su servidor o equipo, deberán crear un pequeño archivo nombrado ‘phpinfo.php’ que contenga ÚNICAMENTE la siguiente línea:

Código PHP:

  <?  
phpinfo();  
?>

Ahora accedan a él ingresando a http://localhost/phpinfo.php y deberán ver listado las siguientes configuraciones:

Módulo GD
GD es un módulo que permite la manipulación de gráficos en diversos lenguajes, entre estos PHP.
gd
GD Support enabled
GD Version bundled (2.0.34 compatible)
FreeType Support enabled
FreeType Linkage with freetype
FreeType Version 2.1.9
T1Lib Support enabled
GIF Read Support enabled
GIF Create Support enabled
JPG Support enabled
PNG Support enabled
WBMP Support enabled
XBM Support enabled

Módulo SESSION
Permite el uso de sesiones accediendo al array $_SESSION y funciones session_* de php.
(Ver http://php.mirror.camelnetwork.com/manual/en/ref.session.php para más información)
session
Session Support enabled
Registered save handlers files user sqlite
Registered serializer handlers php php_binary wddx

Directive Local Value Master Value
session.auto_start Off Off
session.bug_compat_42 On On
session.bug_compat_warn On On
session.cache_expire 180 180
session.cache_limiter nocache nocache
session.cookie_domain no value no value
session.cookie_httponly Off Off
session.cookie_lifetime 0 0
session.cookie_path / /
session.cookie_secure Off Off
session.entropy_file no value no value
session.entropy_length 0 0
session.gc_divisor 100 100
session.gc_maxlifetime 1440 1440
session.gc_probability 1 1
session.hash_bits_per_character 4 4
session.hash_function 0 0
session.name PHPSESSID PHPSESSID
session.referer_check no value no value
session.save_handler files files
session.save_path C:\xampp\tmp C:\xampp\tmp
session.serialize_handler Php php
session.use_cookies On On
session.use_only_cookies Off Off
session.use_trans_sid 0 0

Si han encontrado esta información, entonces podemos continuar con la explicación del script para generar códigos como imagen y validar este código por medio de un formulario de captura.

PASO 2: Vamos a crear un archivo nombrado ‘image.php’, el cual deberá tener la información del script:

Código PHP:

  <? 
if(!isset($_GET['key'])) { $n=rand(1000,9999); } else { $n = base64_decode($_GET['key']); }  
      
    // Se establece el cabecero del documento, en este ejemplo será del tipo Imagen GIF  
    // Nota: El archivo GIF tiene mejor compresión ;)  
    header('Content-Type: image/gif');  
    // Se genera el área del gráfico  
    $grafico = imagecreate(70, 30);  
    // El primer color establecido será el color de fondo  
    $fondo = imagecolorallocate($grafico, 0, 0, 0);  
    // El siguiente color establecido será el color del texto  
    $color = imagecolorallocate($grafico, 255, 255, 255);  
    // Se establece el margen inicial para cada caracter escrito  
    $margen = 5;  
    // Se obtiene cada caracter de la cadena usando el loop for()  
    for($x = 0; $x < strlen($n); $x++) {  
        // Se extrae la cadena usando la función substr()  
        $c = substr($n,$x,1);  
        // La inclinación será 10 o -10 segun sea si el número de caracter es par o no  
        if(($x % 2)==0) { $rend = 10; } else { $rend = -10; }  
        // Se escribe el caracter en el gráfico  
        imagettftext($grafico, 20, $rend, $margen, 22, $color, 'musich.ttf', $c);  
        // Se incrementa el margen del siguiente caracter a escribir, en caso de existir  
        $margen += 16;  
    }  
    // Se obtiene el gráfico para mostrar en el navegador  
    imagegif($grafico);  
    // Destruye la imagen creada liberando la memoria  
    imagedestroy($grafico); 
?>

PASO 3: Crearemos un pequeño formulario web donde pediremos un nombre de usuario, contraseña y por último que digiten el código en la imagen. El archivo lo nombraremos ‘mySecureWebForm.php’ y contendrá:

Código PHP:

  <? 
$mySecretNumber = rand(1000, 9999); // Generar número aleatorio... 
$secretBase64Code = base64_encode($mySecretNumber); // Codificar el número generado en BASE64 
session_start(); // Iniciar sesión... 
$_SESSION['mySecretNumber'] = $mySecretNumber; // Guardar el número en la sesión... 
?> 
<html> 
<head><title>My Secure Web Form</title></head> 
<body> 
<form action="process-form.php" method="post"> 
<label>Ingrese su nombre de usuario: </label><input type="text" name="Username" id="Username" /><br /> 
<label>Ingrese contraseña: </label><input type="password" name="Password" id="Password" /><br /> 
<? 
    // NOTA IMPORTANTE: "src" de <img> deberá llevar SIEMPRE el número codificado en el parámetro 'key'. 
?> 
<img id="imgCodigo" alt="" src="image.php?key=<?=$secretBase64Code?>" /><br /> 
<label>Ingrese los números impresos en la imagen:</label><input type="text" name="Codigo" id="Codigo" /><br /> 
<input name="btnSubmit" type="submit" value="&iexcl;Iniciar sesi&oacute;n!"> 
</form> 
</body> 
</html>

PASO 4: Crear el archivo de proceso y validación, este lo nombraremos ‘process-form.php’ y contendrá:

Código PHP:

  <? 
session_start(); // Iniciar la sesión de usuario... 
$theNumber = $_SESSION['mySecretNumber']; // Recuperamos el número generado... 
 
    // Ahora se valida que el formulario haya sido enviado correctamente... 
    if(!isset($_POST['Username']) || $_POST['Username']=='' ||  
        !isset($_POST['Password']) || $_POST['Password']=='' ||  
        !isset($_POST['Codigo']) || $_POST['Codigo']=='') 
    { 
        // No se enviaron todos los campos, regresemos al formulario... 
        header('Location: mySecureWebForm.php'); 
    } 
 
// Ahora validamos que el número digitado sea el mismo... 
    if(trim($_POST['Codigo'])!=$theNumber) 
    { 
        // Error! no coinciden los números... volvemos al formulario... 
        header('Location: mySecureWebForm.php'); 
    } 
?> 
<html><head><title></title></head> 
<body> 
Tu nombre de usuario es: <?=$_POST['Username'];?><br /> 
El número de la imagen fue: <?=$theNumber?><br /> 
</body> 
</html>

PASO 4: Hacer la prueba de que funcione ingresando a: http://localhost/mySecureWebForm.php

Eso es todo amigos…

P.D.: Esta documentación y los archivos citados en el minimini-howto pueden bajarlos de: w w w . dev-mexico . c o m / test-phpimage.zip (lo puse así porque no dejan poner links...)

Saludos,

J. Arturo Ruz C.
arturoruz at msn dot com ;)

arturoruz · #14 (**permalink**) 07/02/2008, 01:01

Un detalle... en ves de 'musich.ttf' usen 'arial.ttf', esto en el código de 'image.php'... Saludos!