Seguridad con el login

#1 (**permalink**) 03/06/2005, 15:06

Hola tengo hecho este simple login,y quisiera saber si me ayudan a perfeccionarlo si tiene errores,y si me pueden ayudar a "blockear" si hay algún agujero,es decir,que me ayuden a ser lo más seguro posible,y que no haya ningún problema
Gracias

<?php
session_start();
print("<body bgcolor=#009900 text=#FFFFFF link=#FFFFFF>");
require_once("conexion.php");
$Auth = "NO";
$Auth = $_POST['Auth'];
$User = $_POST['user'];
$Pass = $_POST['pass'];
$Query = mysql_query("SELECT * FROM usuarios WHERE username='$User' && user_password ='$Pass'");
$Q_num = mysql_num_rows($Query);
if($Q_num == 1){
$data = mysql_fetch_array($Query);
session_register('username');
session_register('user_password');
session_register('Auth');
echo("<meta http-equiv=refresh content=1;URL=default.php>");
} elseif($Q_num==0) {
echo("Usuario / Clave no son válidos, intente de nuevo...");
}
?>

Cluster · #2 (**permalink**) 03/06/2005, 15:18

El error principal que veo es que no usas los arrays supeglobales $_SESSION .. con ello ya tienes un problema de seguridad probable.

También redireccionas con HTML .. deberías hacerlo automáticamente con cabeceras HTTP directas:

header ("Location: default.php");

Todo ese HTML de ese script estaría de más .. debería ser un script de proceso PHP puro y devolver los mensajes de error a otro script para presentarlos. (sino tendrás problemas por ejemplo con la redirección vía header()

Puedes ver todo lo que te comento funcionando en este script:
http://php.cluster-web.com/autentificator

Un saludo,

#3 (**permalink**) 03/06/2005, 15:25

osea,tengo q hacer:

<?php
session_start();
print("<body bgcolor=#009900 text=#FFFFFF link=#FFFFFF>");
require_once("conexion.php");
$Auth = "NO";
$Auth = $_POST['Auth'];
$User = $_POST['user'];
$Pass = $_POST['pass'];
$Query = mysql_query("SELECT * FROM usuarios WHERE username='$User' && user_password ='$Pass'");
$Q_num = mysql_num_rows($Query);
if($Q_num == 1){
$data = mysql_fetch_array($Query);
session_register('username');
session_register('user_password');
session_register('Auth');
header ("Location: default.php");
} elseif($Q_num==0) {
echo("Usuario / Clave no son válidos, intente de nuevo...");
}
?>

Pero qué pongo el el $_session

session_register('username');
session_register('user_password');
session_register('Auth');

ahi?

2Fast To You · #4 (**permalink**) 03/06/2005, 17:33

jeje, mira, lo que te recomiendo es que cojas el LOGIN de Cluster y mires como lo hace, ya que con el de el desarrollé el mio con algunas cosas mas.

Pero siempre la misma lógica.

Nos vemos

jam1138 · #5 (**permalink**) 03/06/2005, 18:25

Cita:

Iniciado por Saldu

osea,tengo q hacer:

Lo que te dijo Cluster... y que ya te había dicho yo...
www.php.net/session

... consulta las FAQ... el código que pegas no tiene nada de nuevo... no haces los cambios que te comentan...

ni siquiera lo iluminas... (digo!, al menos...).