Problema con Sesiones en el mismo "Server"

KATHYU · #1 (**permalink**) 01/09/2013, 10:46

Antes que nada decirles que no son fan de poner todas mis dudas para que me las resuelvan, yo busco y cuando no hayo ni para atras ni para adelante ahi si pregunto, ya busque de este tema y espero me ayuden !!!

Bien les explico y si en algo tienen consejos de seguridad les agradecere; yo implemente las sesiones en mi sistemita y lo hice asi :

Este es el codigo php del index (login) ya que el html para que lo pongo xD

Usando este tema: aporte-seguridad-basica-php- que hizo el amigo Triby logre poner en practica algunos consejos de seguridad (algunos ya que otros aun no he podido xD)

Código PHP:

Ver original<?php
    session_start();
    include('include/c.php'); 
    if(!empty($_POST['user']) and !empty($_POST['pass'])){
    $user = '';
    $pass = '';
    $user = trim($_POST['user']);
    $pass = trim($_POST['pass']);
        $user = $mysqli->real_escape_string($user);
        $pass = $mysqli->real_escape_string($pass);
        $sql = $mysqli->query("SELECT * FROM users WHERE nombre='$user' and pass='$pass' ");
        if($row = $sql->fetch_array(MYSQLI_ASSOC)){
    
        if ($user == $row['nombre'] and $pass == $row['pass'])
            {
            $_SESSION['iduser'] = $row['id'];
            $_SESSION['username'] = $row['nombre'];
            $_SESSION['tipo_usu'] = $row['tipo'];
            if(!$_SESSION['tipo_usu']=='0' ){
            header('location:kosys.php');
            }
            else{
                header('location:error.php');
                }
            }
        else{
        echo "<script language='JavaScript'>alert('Usuario o Password invalidos !!!');
            </script>";
                }
        }
        else{
        echo "<script language='JavaScript'>alert('Usuario o Password invalidos !!!');
            </script>";
            }
        }
?>

Bien eso pasa a un archivo que tiene el menu y todo eso, y el codigo php es el siguiente:

Código PHP:

Ver original<?php
        session_start();
        include('include/c.php'); 
        if(!$_SESSION['tipo_usu']=='1' or !$_SESSION['tipo_usu']=='2' or !$_SESSION['tipo_usu']=='3'){
            header('location:error.php');
        }
        $tipo = '';
        $tipo = $_SESSION['tipo_usu'];
        if ($tipo != 1 or $tipo != 2 or $tipo != 3){
            $titulo = 'Intruso';
        }
        if($tipo == '1'){
            $titulo='Admin';
        }
        if ($tipo == '2'){
            $titulo = 'Cajero/a';
        }
        if ($tipo == '3'){
            $titulo = 'Usuario';
        }
        
    mysqli_close($mysqli); //Ver el item 2 con respecto a esto por favor <====
?>

Basicamente es normal el codigo, he buscado ponerle algo de seguridad y aun me falta (quiero encriptar los passwords pero eso lo hare luego ).

Tengo el cierre de sesion asi:

Código PHP:

Ver original<?php 
session_start();
$_SESSION['username']=NULL; //Esto esta bien ??? <===
$_SESSION['tipo_usu']=NULL;   //Esto esta bien ??? <===
 
session_destroy();  //Esto seria redundante ??? <===
 
header("location:../index.php");    
?>

Y en la mayoria de archivos verifico a los usuarios y privilegios asi:

Código PHP:

Ver original<?php
    session_start();
    include('c.php');
    if($_SESSION['tipo_usu']=='1' or $_SESSION['tipo_usu']=='2'){
        // Que haga lo que tiene que hacer
       }
   // Si no le pongo un error que dice que no tiene privilegios.
        else {
            header('location:../error.php');
        }
?>

El problema que me aqueja ahorita son basicamente 2 en 1:

1- Yo estoy aun en localhost y me da la cosa que si inicio sesion en otro sistema de localhost los sistemas se pasan los datos de sesion entre ellos

estoy en el sistema 1 sin entrar, entro en el sistema 2 con usuario "juan" entonces en el sistema 1 pongo la ruta del archivo que sigue despues del login y me muestra el usuario juan con titulo intruso (ya que asi lo tengo yo configurado) y viseversa, quisiera saber como solucionar eso o si en un servidor web eso ya no pasaria.

2- Quiero saber si es necesario cerrar la conexión ( mysqli->close() ) en cada proceso ?? segun he leido eso quita "velocidad" al sistema y que para evitarlo debo poner variables globales o sesiones globales pero eso no lo quiero implementar aun, la cosa es cierro la conexion en cada archivo php o lo dejo asi hasta que el cliente de logout ???

En espera de su amable ayuda, espero haberme dado a entender !!!

pateketrueke · #2 (**permalink**) 01/09/2013, 11:14

1. Necesitas exponer más información, ya que la única razón para que dos sistema puedan leer la misma sesión es que estén en la misma ubicación y accedan a los mismos índices, además de que ninguna establece su propio namespace de la sesión con session_name()

2. No, no es necesario, eso se hace en automático

KATHYU · #3 (**permalink**) 01/09/2013, 14:52

La 2 captada !!

Con la 1, Los sistemas los tengo en la carpeta de los proyectos, osea xampp/htdocs y efectivamente tenia (tenia porq ya los cambie) los mismos indices tipo_user para ambos sistemas !!!

Habia pensado en eso pero no crei que fuese el problema eso y bueno ya ven el resultado de creer

Osea que de indices diferentes es de lo que depende que no se pasen las sesiones entre sistemas, cuando estan en una misma carpeta ?? ummm interesante !!!

Pero toma todo lo del server, pase el sistema 1 a htdocs/sistema1 y al sistema 2 lo puse en htdocs/sistemas/sistema2 y aun se pasan osea que ya en un hosting si entre dos sistemas hay mismos indices se puede dar este problema ??

Gracias pateketrueke

Erick_MD9 · #4 (**permalink**) 01/09/2013, 16:36

Hola.

1.- Las sesiones, tienes que verlas como variables; usa var_dump($_SESSION) y verás.
2.- Son variables, bueno ¿Donde se guardan?

3.- Que paginas puedes acceder al lugar donde se guardan y ¿por que?

Te sugiero revisar esta información.
http://www.php.net/manual/es/session.configuration.php

En lo personal, prefiero hacer un manejo de sesiones personalizado, ya que me ha tocado encontrarme con servidores mal configurados.

En el caso de sguridad, este aporte es muy bueno tambien.

http://www.forosdelweb.com/f18/seguridad-web-1004102/

Saludos.

GatorV · #5 (**permalink**) 02/09/2013, 11:49

Para PHP no existen "sistemas", aunque los cambies de carpeta son scripts PHP, por lo que si usas el nombre de sesión por defecto, es por eso que se "comparten".

La forma correcta de diferenciar los nombres es así usando session_name para que cada "sistema" tenga un nombre de sesión independiente y no exista colisión de nombres de variables.

Saludos.

KATHYU · #6 (**permalink**) 02/09/2013, 22:54

Cita:

Iniciado por GatorV

Para PHP no existen "sistemas", aunque los cambies de carpeta son scripts PHP, por lo que si usas el nombre de sesión por defecto, es por eso que se "comparten".

La forma correcta de diferenciar los nombres es así usando session_name para que cada "sistema" tenga un nombre de sesión independiente y no exista colisión de nombres de variables.

Saludos.

Excelente buscare la forma correcta de implementar la sesion_name()

Y aca esta (realmente busque muy rapido

)

Basicamente mi manejo de sesiones es:

Código PHP:

Ver original<?php
    session_start();
    include('c.php');
    if($_SESSION['tipo_usu']=='1' or $_SESSION['tipo_usu']=='2'){
        // Que haga lo que tiene que hacer
       }
   // Si no le pongo un error que dice que no tiene privilegios.
        else {
            header('location:../error.php');
        }
?>

Busque y haye dos soluciones, la primera es normal; es cuestion de agregar el nombre de mi sesion y poner el nombre de la sesion siempre antes de session_start():

Código PHP:

Ver originalsession_name('nombre'); //Debo poner esta linea a todos los archivos que manejen sesiones ???
    session_start();
    include('c.php');
    if($_SESSION['tipo_usu']=='1' or $_SESSION['tipo_usu']=='2'){
        // Que haga lo que tiene que hacer
       }
   // Si no le pongo un error que dice que no tiene privilegios.
        else {
            header('location:../error.php');
        }
?>

La segunda es hacer un archivo config.ini de esta forma:

Código:

name = kosys

Y llamarlo con php y de paso encriptarlo con sha1:

Código PHP:

Ver original$config = parse_ini_file( 'config.ini' );
    session_name( sha1( $config['name'] ) ); //Debo poner esta linea a todos los archivos que manejen sesiones ??
 session_start();
    include('c.php');
    if($_SESSION['tipo_usu']=='1' or $_SESSION['tipo_usu']=='2'){
        // Que haga lo que tiene que hacer
       }
   // Si no le pongo un error que dice que no tiene privilegios.
        else {
            header('location:../error.php');
        }
?>

Cual forma creen que deba poner en practica, la dos estaria bien ???

PD: la pregunta de la linea comentada es: Debo poner esa linea en todos los archivos que manejen sesiones ??

Gracias a todos

pateketrueke · #7 (**permalink**) 02/09/2013, 22:57

La opción del config.ini suena bien si centralizas todo el manejo de sesiones en un script/función/class/etc. ya que si debes hacer los cambios archivo por archivo resulta demasiado.

Y lo que está en la linea que comentas se resuelve igual, debes colocar lo mismo en cada script que haga uso de sesiones, pero si tienes todo disperso entonces deberías mejorar esa parte primero.

KATHYU · #8 (**permalink**) 02/09/2013, 23:16

Cita:

Iniciado por pateketrueke

La opción del config.ini suena bien si centralizas todo el manejo de sesiones en un script/función/class/etc. ya que si debes hacer los cambios archivo por archivo resulta demasiado.

Y lo que está en la linea que comentas se resuelve igual, debes colocar lo mismo en cada script que haga uso de sesiones, pero si tienes todo disperso entonces deberías mejorar esa parte primero.

Ummm odio no entender algo que me aconsejan

Cuando dice si centralizas todo el manejo de sesiones en un script/función/class/etc. se refiere a hacer un archivo (llamemolo asi) .php que asigne el nombre a la sesion y lo guarde en una variable y que pase esa variable a mis archivos antes de session_start() con un include ???? esq las clases en serio aun no las manejo

Y cuando dice: pero si tienes todo disperso entonces deberías mejorar esa parte primero. a que se refiere ?? que no es bueno que haga la programacion estructurada de esa forma ??

Yo hago mi index con un iframe, luego programo cada archivo php con lo que necesito exactamente y lo llamo al iframe y asi me libre de xajax ya que no lo hice funcionar

basicamente por eso tengo varios archivos php

pateketrueke · #9 (**permalink**) 02/09/2013, 23:20

Piensa, ¿cuantas linea de código tendrías que repetir para corregir tu código?

¿No sería más limpio tener dichas lineas en un solo script e incluirlo en vez de repetir todo cada vez?

Código PHP:

Ver originalinclude 'sesion.php';

sesion.php

Código PHP:

Ver originalsession_name();
session_start();

Vamos, el principio "divide y vencerás" es básico, me sorprende que no lo veas así.

KATHYU · #10 (**permalink**) 02/09/2013, 23:29

Cita:

Iniciado por pateketrueke

Piensa, ¿cuantas linea de código tendrías que repetir para corregir tu código?

¿No sería más limpio tener dichas lineas en un solo script e incluirlo en vez de repetir todo cada vez?

Código PHP:

Ver originalinclude 'sesion.php';

sesion.php

Código PHP:

Ver originalsession_name();
session_start();

Vamos, el principio "divide y vencerás" es básico, me sorprende que no lo veas así.

Osea que si tenia razon y habia entendido !!! con include meto lo de las sesiones y me libro de muchas cosas !!!

Gracias Maestro !!!

y como decimos los Aikidokas y Karatedokas OSS !!!!