[SOLUCIONADO] problema con autentificacion de usuario

xSkArx · #1 (**permalink**) 26/08/2013, 17:13

Hola todos, les cuento que estoy haciendo.un script de autenticaciin de usuarios, todo lo he realizafo yo, el script en cierta forma funciona, pero no como yo quisiera, si ingreso un usuario que no existe da un aviso para que vuelva a iniciar sesion, si ingresa de forma durecta al script lo redirige al login , pero si ingresa un usuario que existe ingresa independiente de la contraseña que le ponga.
He intentado de varias maneras arreglarlo pero no funciona, les dejo los codigos del formilario y del script

index.php (formulario)

Código PHP:

Ver original<?php
session_start();
include('config.php');
?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<meta name="viewport" content="width=device-width; initial-scale = 1.0; maximum-scale=1.0; user-scalable=no" />
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<title>Blog de Skar <?php echo $file; ?></title>
<style type="text/css">
body,td,th {
    font-family: Tahoma, Geneva, sans-serif;
    color: #F00;
}
body {
    background-color: #000;
}
</style>
</head>
 
<body>
<div align="center">
<?php
if (isset($_SESSION['s_user'])) { 
echo "Bienvenido a mi sitio has ingresado como ".$_SESSION['s_user'].", gracias por la visita!"; 
}else{
?>
<form action="ver.php" method="POST"><br>
Nombre:<input type="text" id="user" name="user">
<br>
Contraseña:<input type="password" id="pass" name="pass">
<br>
<input type="submit" id="enviar" name="enviar" value="Enviar">
<?php
}
?>
</form>
</div>
</body>
</html>

ver.php

Código PHP:

Ver original<?php
include('config.php');
if(!isset($_POST['user']) && empty($_POST['pass'])){
sion_destroy();
header("Location: index.php");
}else{
$user= $_POST['user'];
$pass= md5($_POST['pass']);
}
$query="SELECT user FROM users WHERE user='$user'";
$rs= mysql_query($query,$cn);
$numrow= mysql_num_rows($rs);
if($numrow != 0){
$qp= mysql_query("SELECT user,pass FROM users WHERE user='$user'",$cn);
$numpass= mysql_num_rows($qp);
if($numpass != 0){
$row= mysql_fetch_array($qp);
if(!$row['pass'] == $pass){
echo "La contraseña ingresada es incorrecta, vuelve a iniciar sesion, ";
echo "<a href='index.php'>aqui</a>";
}else{
session_start();
//echo "Bienvenido admin: ".$row['user'];
$_SESSION['s_user']=$row['user'];
header("location: index.php");
}
}else{
    echo "no se encuentra el usuario ingresado\n";
    echo "por favor verifique los datos e ingrese nuevamente, <a href='index.php'>Inicio</a>";
}
}
?>

Atento a su ayuda gracias

nades · #2 (**permalink**) 26/08/2013, 17:21

Puede ser porque no esta bien escrito tu finalización de sesión
sion_destroy(); Esto debe ser esto session_destroy();

Si solo fue error de dedo... Haz intentado probar con NULL???

Código PHP:

Ver originalif (isset($_POST["enviar"])) {
     if ($_POST['user']==NULL|$_POST['pass']==NULL)
    {
       session_destroy();
       header("Location: index.php");
    }else{
      //Todo tu demás código
   }

}

ocp001a · #3 (**permalink**) 26/08/2013, 17:49

Veo algunos problemas de concepto y también de malas prácticas.

Código PHP:

Ver original<?php
include('config.php');
if(!isset($_POST['user']) && empty($_POST['pass'])){
sion_destroy();
header("Location: index.php");
}else{
$user= $_POST['user'];//no filtras la variable para que no te inyecten instrucciones maliciosas
$pass= md5($_POST['pass']);
}
$query="SELECT user FROM users WHERE user='$user'";//Aqui metes la consulta en una variable, pero luego la colocas directa
$rs= mysql_query($query,$cn);
$numrow= mysql_num_rows($rs);
if($numrow != 0){
$qp= mysql_query("SELECT user,pass FROM users WHERE user='$user'",$cn);//haces una segunda consulta 
$numpass= mysql_num_rows($qp);
if($numpass != 0){
$row= mysql_fetch_array($qp);
if(!$row['pass'] == $pass){// es más simple usar != que negar el ==
echo "La contraseña ingresada es incorrecta, vuelve a iniciar sesion, ";
echo "<a href='index.php'>aqui</a>";
}else{
session_start();
//echo "Bienvenido admin: ".$row['user'];
$_SESSION['s_user']=$row['user'];
header("location: index.php");
}
}else{
    echo "no se encuentra el usuario ingresado\n";//No es conveniente indicar que el usuario no existe de cara a un posible ataque.
    echo "por favor verifique los datos e ingrese nuevamente, <a href='index.php'>Inicio</a>";
}
}
?>

Una forma un poco simple sería así:

Código PHP:

Ver originalif(!mysql_num_rows($qp= mysql_query("SELECT user,pass FROM users WHERE user='$user'",$cn)))//vemos si la consulta regresa un dato
     die('Usuario o password incorrecto');//si no existe el usuario. Puedes mandar un mensaje, hacer una redirección o ambos
 
$pasbd=mysql_fetch_assoc($qp);//extraemos el password almacenado
if($pass!=$pasbd)//si no coinciden los passwords
     die('Usuario o password incorrecto');//Ponemos el mensaje
 
//si se encontró el usuario y si el password fue correcto
echo "Bienvenido";

xSkArx · #4 (**permalink**) 26/08/2013, 19:26

muchas gracias a los 2, pero mas a @ocp001a me ahorre bastantes lineas de código :D