no anda verificacion de usuario/contraseña

chapu · #1 (**permalink**) 15/01/2003, 18:50

alooh!
cómo os va?

hey, que puede estar andando mal en este script??, por favor AYUDA!! que lo vengo modificando y revisando hace un toco y no consigo que ande...

El script es de verificacón de usuario y contrasena. si los datos son correctos establece una sesión. y si no devuelve a la página donde se ingresaron los datos.

Código PHP:

  <? 
//Conexion con la base 
$db=mysql_connect("localhost","user","password"); 
 
//comprobacion 
if ( mysql_db_query("proyecto","SELECT * FROM mz_agenda_users WHERE usuario='$POST_['usuario']' and contrasena='$POST['contrasena']'") ){ 
  
  //definimos una sesión y guardamos datos 
  session_start(); 
  $_SESSION['autentificado']="SI"; 
  $_SESSION['user']=$_POST["usuario"]; 
 
  //cerramos la conexion 
  mysql_close($db); 
 
  header ("Location: agregar_toque2.php"); 
  break; 
} 
else { 
  //si los datos son incorrectos lo mandamos otra vez al lugar donde ingresó los datos 
  header("Location: index.php?error=si"); 
} 
?>

he leído por ahí algo de PHP_AUTH_USER o algo por el estilo, conviene usar esto para verificar, de ser así, alguien me tira alguna ayudita?

se agradece,

Cluster · #2 (**permalink**) 16/01/2003, 08:49

Lo que no he probado es esa forma de usar una consulta .. osese .. hacer una llamada tipo mysql_query() o mysql_db_query() y esperar q de "TRUE" si se arroja algun registro ...

Estas seguro que ese IF se cumple ante ese User/pass correcto (q está en tu BD)?¿

Revisa Esto:

header ("Location: agregar_toque2.php");
break;

Sería mejor:

header ("Location: agregar_toque2.php");
exit;

(en genereral .. despues de cada header("location .... usar exit; para terminar la ejecución del script.

Tambien:
$_SESSION['autentificado']="SI";

No tiene mucho sentido .. si luego te guardas:
$_SESSION['user']=$_POST["usuario"];

Revisa para saber si está autentificado tu usurio la variable de session "user" si tiene valor o no con eso sobra.

Por lo demas .. (pon los exit donde se menciona) comenta que error te da o que no hace.

Un saludo,

chapu · #3 (**permalink**) 16/01/2003, 11:19

cluster, lo que pasa es que acá, donde estoy trabajando no tengo el apache y no puedo saber cuál es especificamente el error que tira el script...

Probé usar el exit; en vez del break pero no afectó en nada...

está bien esta línea?

Código PHP:

  mysql_db_query("proyecto","SELECT * FROM mz_agenda_users WHERE usuario='$POST_['usuario']' and contrasena='$POST['contrasena']'");

esto..

Código PHP:

  usuario='$POST_['usuario']'

es así?

alguien que me diga si usa este tipo de verificación... si es así, o cuál es el problema... POR FAVOR!!!

y sino, otra alternativa, con lo de auth_user o algo para que ande...

desde ya, gracias!

pd: cluster, tenías razón que no era necesario el:

Código PHP:

  $_SESSION['autentificado']="SI";

Cluster · #4 (**permalink**) 16/01/2003, 11:58

Puedes ver como ejemplo el sistema de autentificacion de usuarios q hice hace algun tiempo ..

Lo puedes ver en:
http://phpcluster.host.sk/scripts/autentificator/

(te comento esto .. pues vas por el mismo camíno que lo q hice yo ..)

y en general para tus mysql_query() o mysql_db_query() usa ..

mysql_query(....) or die(mysql_error()); .. así podras ver errores de SQL (de Mysql).

Como "sintax" ese mysql_db_query() parece estar bien .. aunque ya está en desuso y se usa mysql_query() junto con mysql_db_select() .. Pero lo q no me "convence" es el uso q haces en un condicional "if" .. Lo idea sería por lo menos hacer un mysql_num_rows() y ver si arroja UN resultado .. si es así es porqué coinciden el user/pass .. Yo de todas formas en mi script obtengo ambos valores user/pass para dar un mensaje de error mas acertado sobre si fué el user o el pass el q no existe o lo q corresponda.

Un saludo,

chapu · #5 (**permalink**) 24/01/2003, 19:44

Hola hola!!! Ça va?

He estado probando y sinceramente me estoy volviendo un poco loco!!!

No se que carajo pasa? Ahora el código que uso lo tome de ZEND y le hice unos arreglos para adaptarlo a mi web:

Código PHP:

  <? 
//vemos si el usuario y contraseña son validos 
//para esto revisamos la bd (mz_agenda_users) que tiene los nombres de usuarios y passwords 
 
 
$auth = false; // Verifica si el usuario está autentificado 
 
if (isset( $PHP_AUTH_USER ) && isset($PHP_AUTH_PW)) { 
 
    //Conexion con la base MySql 
 
    mysql_connect("localhost","user","pass") 
        or die ( 'No se puede conectar con el servidor de la base de datos.' ); 
 
    //Seleccionamos la base de datos en MySql 
 
    mysql_select_db( 'proyecto' ) 
        or die ( 'No se puede encontrar la base de datos.' ); 
 
    //consulta a la base de datos 
 
    $sql = "SELECT * FROM mz_agenda_users WHERE usuario='$PHP_AUTH_USER' AND contrasena='$PHP_AUTH_PW'"; 
 
    // Ejecutamos la consulta y ponemos los resultados obtenidos en $result 
 
    $result = mysql_query( $sql ) 
        or die ( 'No se puede llevar a cabo la consulta a la base de datos.' ); 
 
    // Obtenemos el número de columnas en $result. 
    $num = mysql_num_rows( $result ); 
     
    if ( $num != 0 ) { 
        // Una columna ha sido encontrada, el usuario ya ha sido autentificado anteriormente 
        $auth = true; 
    }  
 
}  
 
if ( ! $auth ) {  
 
    header( 'WWW-Authenticate: Basic realm="Private"' );  
    header( 'HTTP/1.0 401 Unauthorized' );  
    echo 'Necesitas autorización para entrar acá!';  
    exit;  
 
} else {  
 
  //si todo es correcto, definimos una sesión y guardamos datos 
  session_start(); 
  $_SESSION['user']=$_POST['usuario']; 
 
  header ("Location: agregar_toque2.php"); 
  exit; 
} 
 
?>

Se ejecuta correctamente pero no hace lo que quiero, sinceramente no entiendo nada!!!

Si alguien se apiada y lo prueba y me cuenta, ya se que es mucho pedir, pero... uds son buenos...

no?

Se agradece mucho,

lochorui · #6 (**permalink**) 24/01/2003, 20:58

peor no estas especificando la tabla no? o son alucinaciones mias?

no se .........

Cluster · #7 (**permalink**) 25/01/2003, 08:27

A ver .. empecemos denuevo:

- Que servidor HTTP usas? (Apache, IIS .. etc?)
- Que versión de PHP usas?
- Como está instalado PHP ? ... CGI o Módulo de Apache.
- estado de la directiva register_globals de tu PHP.ini

Te comento Yá que la Autentificación q estas usando es HTTP y eso SOLO y exclusivamente funciona con PHP como Módulo de Apache .. si usas IIS, PWS u otros servidores HTTP con PHP como CGI no te va a funcionar ...

Sobre usar $_SESSION y $_POST .. depende de la versión de PHP que uses (PHP 4.1.0 en adelante ...) El estado de register_globals en este caso no influye .. pero es bueno saberlo por los otros código q has probado.

Un saludo

chapu · #8 (**permalink**) 25/01/2003, 13:26

Cluster, sinceramente no tengo mucha idea del servidor HTTP que uso, ni la version de PHP, ni si está instalado como módulo de Apache o CGI...

Pero bueno, dame tiempo que lo averiguo y mientras decime respecto de:

Cita:

Te comento Yá que la Autentificación q estas usando es HTTP y eso SOLO y exclusivamente funciona con PHP como Módulo de Apache .. si usas IIS, PWS u otros servidores HTTP con PHP como CGI no te va a funcionar ...

Cómo hago para probar de otra forma (que sea visible en todas las configuraciones)???

SobrE:

Cita:

Sobre usar $_SESSION y $_POST .. depende de la versión de PHP que uses (PHP 4.1.0 en adelante ...) El estado de register_globals en este caso no influye .. pero es bueno saberlo por los otros código q has probado.

Eso, estoy seguro de que no tiene nada que ver...

--------------

Igual, el código está bien entonces, es decir, es otra la cosa que no permite que ande??? no es cierto???

o lochorui tiene razón y no he especificado algo, en realidad no entiendo el comentario, yo veo que la tabla (mz_ageda_users) si lo está...

chau y gracias a los dos, espero no haberlos mareado...

Cluster · #9 (**permalink**) 25/01/2003, 13:47

Los detalles de configuración los ves haciendo:

Código PHP:

  <?php 
phpinfo(); 
?>

(lo de si PHP trabaja como Módulo de Apache o CGI lo ves en el apartado "Server API" (de las primeras) ...)

Lo guardas con el nombre q gustes ejemplo: phpinfo.php ... lo subes a tu servidor y lo ejecutas ..

Ahí veras una página completa con todas (o casi todas) las variables y configuración de PHP + algo del servidor HTTP q uses ..

Si programas en PHP debes de saber algo de configuración del mismo .. por lo menos para detectar y conocer porqué pueden fallar las cosas q pruebas ...

Por ejemplo .. PHP crece dia a dia y en cada nueva versión sale alguna función nueva o incluso cambia el uso de alguna .. o metodología nueva de trabajar con variables como fué cuando aparareció el array "superglobal" ...

Un saludo,

josemi · #10 (**permalink**) 25/01/2003, 14:50

Hola,

Ademas de lo que dice Cluster, tambien deberias explicar lo de "Se ejecuta correctamente pero no hace lo que quiero". Quizas es que lo que quieres no se hace con este codigo y el codigo esta bien.

Si lo de "no hace lo que quiero" es que no te almacena en la sesion el nombre de usuario, quizas es porque en:

Código PHP:

  session_start(); 
 
$_SESSION['user']=$_POST['usuario'];

estas almacenando en la variable de sesion 'user' el contenido del campo 'usuario' de un formulario HTML, cuando quizas lo que deberias usar es $PHP_AUTH_USER, que es el valor que el usuario a tecleado en ventana que sale pidiendole el usuario y la clave.

Suerte.

chapu · #11 (**permalink**) 03/02/2003, 12:26

Gracias gente por seguir ayudando a esta pobre criatura inquieta (?)...

Josemi, tenías razón en:

Código PHP:

  session_start(); 
$_SESSION['user']=$_POST['usuario'];

debía de ser así:

Código PHP:

  session_start(); 
$_SESSION['user']=$PHP_AUTH_USER;

Entonces todo anduvo bien!!! no se puede creer, pero ahora tengo otro problemita... tengo otra página que se llama salir.php

Código PHP:

  <? 
session_start(); 
session_destroy(); 
?> 
<html>  
<head>  
<title>Agenda de Bandas - mendoZarpate.com.ar</title> 
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1"> 
</head>  
 
<body>  
   
<p> 
Ya saliste! Gracias por agregar el toque de tu banda en nuestra página. 
</p> 
 
</body>  
</html>

que tiene como objeto borrar o mas bien eliminar la sesion existente, hasta ahora todo bien, el problema es que al volver a querer ingresar los datos de contraseña y usuario: verifica si han sido inicializadas las variables de $php_auth y no se como hacer para que php las desinicialice (en salir.php), no se si me entienden???

en la página de autentificacion:

Código PHP:

  if ( isset( $PHP_AUTH_USER ) && isset($PHP_AUTH_PW)  ) {

desde ya gracias!!!

Gracias Josemi!!!, a vos también CLuster por toda la ayuda!!!

Cluster · #12 (**permalink**) 03/02/2003, 12:42

Código PHP:

  <? 
session_start(); 
session_unset(); // pruebalo .. 
session_destroy(); 
?>

Pero .. mm me dá q tu problema no es con eso .. Si no te funciona pon el código completo de lo q usas (desde el formulario de "login" hasta la pagina q requiere autentificación y la de salida )

Un saludo,

josemi · #13 (**permalink**) 03/02/2003, 14:29

Hola,

El problema creo que es porque el navegador sigue enviando esas variables hasta que lo cierras. No se si hay alguna cabecera para decirle al navegador que se olvide de ellas.

Saludos.

Cluster · #14 (**permalink**) 03/02/2003, 18:52

Si josemi .. hay una manera que el navegador "se olvide" de las variables que tiene en POST ...

Se trata simplemente de cuando terminas la ejecución del script q usa esas variables POST .. redirecciones a otra página ..

A eso es lo q me referia que creo q va por ahí la cosa .. Pero como no ha puesto código .. pues no se como trabaja. De todas formas es un "error?" muyyy comun no hacer redirecionamientos "automaticos" de este estilo para evitar dicho efecto de que el navegador intenta reenviar la información q tiene ..

Tal vez . por otro medio con algunas cabeceras HTTP tipo "no-cache" .. o "expire" .. se solvente el problema .. Pero yo por mi parte soluciono dicho "efecto" haciendo un simple redireccionamiento .. En caso de que tenga q mostrar algun mensaje de como fué el proceso que realizó el script.php de proceso de esas variables que envio por un formulario o metodo POST .. lo hago en la pagina que redireciono y no en la que procesa dichas variables .. como supongo que mas de uno me habrá leido por estos foros ..

Un saludo,

josemi · #15 (**permalink**) 04/02/2003, 15:51

Hola,

Cluster, yo me refiero a $PHP_AUTH_USER y a $PHP_AUTH_PW, que no son variables POST. Son las de la autentificacion por HTTP y que creo las envia el navegador (no de esa forma) a todas las paginas de la zona protegida. Y creo que no las olvida hasta que cierras el navegador.

saludos.

chapu · #16 (**permalink**) 04/02/2003, 20:35

buenas y santas!

muchachos, como andan?

Código PHP:

  else {  
 
  //si todo es correcto, definimos una sesión y guardamos datos 
  session_start(); 
  $_SESSION['user']=$_POST['usuario']; 
 
  header ("Location: agregar_toque2.php"); 
  exit; 
}

el problema principal del scrip residía en el orden del header y el inicio de la sesion,

por lo que deje al principio (después del else) el inicio de la sesion y luego busqué la forma de incluir agregar_toque2.php y FUNCIONÓ! :cantar:

Igual sigo con la duda de como hacer para que una vez ejecutada la pag salir.php se olvide de los $php_auth (y no tenga que cerrar la ventana como dice josemi, en lo que tiene sabia razón), y me parece que el

Código PHP:

  session_unset();

no funciona con este tipo de variables...

si alguien tiene algo de idea, que nos tire una ayudita...
gracias,

chapu · #17 (**permalink**) 06/02/2003, 19:53

alguien...

Cluster · #18 (**permalink**) 07/02/2003, 07:31

Chapu .. tu sabes q las sessiones tienen tiempo de expiración?

Revisa el manual:
http://www.php.net/manual/en/ref.session.php

session.cache_expire

session.gc_probability
session.gc_maxlifetime

Y si usas propagación por cookies:
session.cookie_lifetime

Estas directivas .. las puedes ajustar por defecto en tu php.ini .. y en su defecto puedes ajustarlas en tiempo de ejecución ..

Revisa tambien:
session_cache_expire()

Un saludo,

chapu · #19 (**permalink**) 12/03/2003, 18:31

hola phperos, cómo me los trata la vida??

estoy reviendo el tema de la autentificación en un sector de la página, donde, ya se habrán dado cuenta al leer este post, pregunto a través del php_auth el nombre de usuario y la contraseña leyendo una base de datos como referencia de los usarios y sus respectivas contraseñas...

la duda que me quedo y nunca pude resolver era:

CÓMO SE HACÍA EN UNA PÁGINA SALIR.PHP PARA "DESINICIALIZAR" LOS PHP_AUTH, O BORRARLOS, PARA QUE NO LOS CONSIDERE EN LA PÁGINA DE AUTENTIFICACIÓN, SI SE DESEA INGRESAR NUEVAMENTE?????

me explico??? Es decir:
el usuario entra y pone sus datos, si son correctos se carga la página, de lo contrario se redirecciona a la página de inicio, una vez aceptado los datos se crea una sesión y el usuario tiene acceso a distintas páginas, una vez finalizada su "estadía" tiene la posibilidad de acceder a "salir.php" por una cuestión de seguridad, en esa página se borran los datos de sesión, pero no sé como hacer para que borre los $PHP_AUTH, es decir que cuando intente volver no pueda, y los datos le sean pedidos nuevamente...

Espero, por favor, POR FAVOR!!!

que alguien me tire una aiudita !!

chau, y gracias!

Cluster · #20 (**permalink**) 13/03/2003, 09:33

Revisa los comentarios de los usuarios del tema HTTP autentificación del manual de PHP oficial:

http://www.php.net/manual/en/features.http-auth.php

Tienes varios comentarios y propuestas para hacer tu "logout" desde una autentificación HTTP ..

Pruebalas y nos comentas ..

Un saludo,

chapu · #21 (**permalink**) 13/03/2003, 15:04

Gracias Cluster por responder, ese link que me diste ya lo había visto en español pero no me termina de gustar che... soy medio "mañoso" como veras...

, Igual, si no queda otra me las rebusco para adaptarlo a mi sitio, y les cuento cómo sería el código, porque estoy seguro, o quiero creer que este problema no es solo mío

...

muchas gracias!
un saludo,

Cluster · #22 (**permalink**) 13/03/2003, 16:19

chapu .. Y leistes los comentarios de los usuarios? .. y probastes los 2/3 propuestas que se dan para hacer el logout? ...

No te voy a pegar el código aquí pues están allá .. Pruebalos y nos comentas.

Un saludo,

chapu · #23 (**permalink**) 13/03/2003, 18:42

Cluster, gracias por seguir contestando che!

ahí recien le di una mirada más intensa al manual y por lo que veo, en el manual no aparece un código para el logout; SI te introduce en la idea de cómo hacer para que vuelva a pedir los datos de la autentificación y otras cosistas más... Pero en los ejemplos aparace algo más concreto en cuanto a un logout eso deduzco, pero sinceramente, ESTOY MUY PERDIDO!!! NO puedo seguir y me quedé trabado acá...

A todo esto, nadie tiene esta duda??? No puede ser!

o alguien que la tuvo y la resolvió o alguien que nunca la tuvo pero tiene el código, o una idea de cómo hacerlo... por favor!!

me estoy volviendo un tanto loco, LOOOCOOO!!

Se agredece, un saludo!

chapu · #24 (**permalink**) 16/03/2003, 17:35

Gente, veo que nadie me responde...

Así es que lo más cerca que encontré para resolver el problema es lo siguiente:

Cita:

Tanto Netscape como Internet Explorer borrarán la caché de la ventana de autentificación en el navegador local después de recibir una respuesta 401 del servidor. Esto puede usarse, de forma efectiva, para "desconectar" a un usuario, forzandole a reintroducir su nombre y contraseña. Algunas personas usan esto para "hacer caducar" entradas, o para proveer un botón de "desconectar".

Y probé un par de veces introducir la cabecera de error 401 en salir.php, con varias variantes, esta es una de las tantas:

Código PHP:

  <? 
session_name("agenda"); 
session_start(); 
session_destroy(); 
 
header( 'WWW: Basic realm="Private"' ); 
header( 'HTTP/1.0 401 Unauthorized' ); 
echo 'YA SALISTE!'; 
?>

ya sé que está mal, pero NO ME SALE!!

bueno, pero esta es la idea mas o menos, me gustaría saber si la cosa va por acá , o nada que ver...

un saludo,