duda sobre sesiones

braakiss · #1 (**permalink**) 12/02/2007, 07:42

Hola a todos,
Quiero hacer un sistema de autentificación simple y me surgen dudas. lo que tengo hecho es una página que donde se mete el usuario y contraseña y que va dirigida a validar.php aqui tengo:

Código PHP:

  <?php 
session_start (); 
$usuario = $_POST['user_fm']; 
$pass = $_POST['pass_fm']; 
 
if ( !empty($usuario) && !empty($pass) ){ 
    if ($usuario=='nombre' && $pass=="pass"){ 
        $_SESSION['autentificado'] = 'SI'; 
        header ("Location: prueba.php?");     
    }  
     
    }else{ 
        header ("Location: index.php?error=1");         
    } 
 
?>

El nombre y el pass ya se como sacarlos de la base de datos mysql. La duda viene que después de leer en varias webs de como hacer esto no se si así está bien. He leido que el SID se envia mediante cookies pero yo quiero que se envie por URL para que no dependa del cliente, ¿como se hace eso? he leido que por defecto se envia por cookies, es cierto?
Por otro lado, ¿ es este un buen sistema? Luego en cada página que requiera identificación pondría:

Código PHP:

  <?php 
session_start();  
 
//COMPRUEBA QUE EL USUARIO ESTA AUTENTIFICADO  
if ($_SESSION["autentificado"] != "SI") {  
    header("Location: index.php");  
    exit();  
}  
 
?>  
 
Código HTML....

Que opinais, estaría bien así?

Gracias a todos

Necros · #2 (**permalink**) 12/02/2007, 08:22

El tema de las sesiones si se almacenan en remoto esta bién, si no el tema de seguridad lo veo vulnerable.

carlosmbrizuela · #3 (**permalink**) 12/02/2007, 08:22

lo que puedes hacer es un consulta preguntando por el usuario y su contraseña. Si el resultado es mayor que cero el usuario existe y completas las variables de sesion correspondiestes. la validacion de campos se deben hacer en JS en el evento onsubmit del form.
Con respecto al SID nunca lo he usado.

saludos

braakiss · #4 (**permalink**) 12/02/2007, 14:32

Cita:

lo que puedes hacer es un consulta preguntando por el usuario y su contraseña. Si el resultado es mayor que cero el usuario existe y completas las variables de sesion correspondiestes. la validacion de campos se deben hacer en JS en el evento onsubmit del form.
Con respecto al SID nunca lo he usado.

Es que lo estoy haciendo y funciona bien :) Lo del SID es algo que he leido pero no se si es para versiones anteriores del PHP, aunque se que es importante por temas de seguridad, para que nadie pueda pillar tu sesión.
Alguien que sepa algo más del tema?

Muchas gracias

Carxl · #5 (**permalink**) 12/02/2007, 14:49

Cita:

Iniciado por braakiss

Es que lo estoy haciendo y funciona bien :) Lo del SID es algo que he leido pero no se si es para versiones anteriores del PHP, aunque se que es importante por temas de seguridad, para que nadie pueda pillar tu sesión.
Alguien que sepa algo más del tema?

Muchas gracias

Hola braakiss.

Al trabajar con php, debes saber donde està tu php.ini, en este archivo esta configurada la forma como se propada el SID, que por defecto viene por cookies.

Si te fijas, habrà lìnea que diga session_use_trans_id o algo así, deberìa estar en 0 en tu caso, y session_use_cookies en 1 ò en On.

Si lo quieres al contrario, pues invierte los valores que te di y ademàs buscar session_use_only_cookies y colocarla en 0.

De esa forma propagas tu SID por URL.

Saludos y espero te sirva!

braakiss · #6 (**permalink**) 13/02/2007, 01:37

Gracias Carxl, es eso exactamento lo que estaba buscando.

Lo probaré a ver como va. Gracias