restringir Guest ver algunos modulos

sandrox23 · #1 (**permalink**) 07/09/2009, 15:49

Holas, estoy desarrolando un sistema de sessiones mediante mysql y tengo una duda con el script para algunos modulos:

Código PHP:

  <?php 
if ($session->logged_in) 
{ 
?> 
 
<?php 
// echo modulo 
?> 
 
<?php 
} 
else { 
echo "Tu no estas logeado, por favor ingresa a login.php"; 
} 
?>

esto es lo mas sencillo que pude hacer, pero mi idea es hacerla con "function guest" algo asi:

Código PHP:

  <?php 
include("guest.php"); // aqui deberia ir todo mi codigo para que no permita ver el modulo y direccione a login.php 
?> 
 
<?php 
// echo modulo 
?>

como construyo esa funcion amigos, espero su ayuda y de paso tambien como creo una funcion para que no puedan ver los modulos osea asi..

localhost/modulos/news.php // y si hacen esa ruta como los traslado al index.php

Gracias y espero su ayuda

GatorV · #2 (**permalink**) 07/09/2009, 16:15

Con header() puedes redirigir una peticion HTTP.

Saludos.

joaowizard · #3 (**permalink**) 07/09/2009, 16:21

hola sandrox23...

Primero por supuesto debiste haber creado la variable sesión a través de un FORM de LOGIN, y la variable sesion pudiste haberla puesto en una variable como esta:

$_SESSION['s_username'] = $row["nick"];//acá por supuesto debiste haber corroborado datos de contraseña y usuario (creo que estás haciendo políticas de usuario). Además también debiste haber chequeado que el USER y el password son correctos para crear la sesion con su nombre por ejemplo

en todas tus págnas controladas por sesion debes chequear sesiones, pudieras incluir:
<?php include ("check_session.php");?>

y en check_session.php tendrías.

<?php session_start();?>//inicializas la sesión en la 1ra LINEA !!
<?php include ("connection.php");?>//tu conexion a la base de datos, como se llame
<?php if (!isset($_SESSION['s_username'])){?>//si no existe sesión
<script languaje="JavaScript">
alert("NO HAY SESION, inicie sesion !!")//alerta
location.href='login.php'//redirecciono al FORM del LOGIN
</script>
<?php }else{//si existe sesión entonces

$sql = "SELECT * FROM `usuarios` WHERE nick =".$_SESSION['s_username'];
$result = mysql_query($sql, $link);
$row = mysql_fetch_array($result);
}
?>

en el anterior código lo que hacemos es chequear que en nuestra base de datos de usuarios esté el nombre [nick] del usuario logueado, a este select puedes por ejemplo ponerle "categorías", es decir, ahí es donde entraría a jugar lo que quieres hacer de poner políticas de usuarios por zonas, por ejemplo, tu tabla de usuarios podría tener un campo que sea categorías, y tu select ser así por ejemplo:

<?php if (!isset($_SESSION['s_username'])){?>//si no existe sesión
<script languaje="JavaScript">
alert("Teclee su nombre de Usuario y contraseña!!")//alerta
location.href='login.php'//redirecciono al FORM del LOGIN
</script>
<?php }else{//si existe sesión entonces

$sql = "SELECT * FROM `usuarios` WHERE nick =".$_SESSION['s_username']."' AND categoria=administrador"; //que además sea administrador
$result = mysql_query($sql, $link);
$row = mysql_fetch_array($result);

if ($row){//si la categoria del usuario en sesion es administrador
//autorizo a entrar en esta seccion
}else{
//doy un mensaje de prohibición, y redirecciono o mando atrás
}
}
?>

espero te sirva .. salu2

sandrox23 · #4 (**permalink**) 07/09/2009, 17:10

Cita:

Iniciado por GatorV

Con header() puedes redirigir una peticion HTTP.

Saludos.

hola GatorV hize como em dijiste pero me sale un error:

Warning: Cannot modify header information - headers already sent by (output started at C:\xampp\htdocs\default.php:28) in ........

Código PHP:

  <?php 
} 
else { 
//echo "Tu no estas logeado, por favor ingresa al LogIn"; 
header('Location: test2.php'); 
} 
?>

Cita:

Iniciado por joaowizard

hola sandrox23...

Primero por supuesto debiste haber creado la variable sesión a través de un FORM de LOGIN, y la variable sesion pudiste haberla puesto en una variable como esta:

$_SESSION['s_username'] = $row["nick"];//acá por supuesto debiste haber corroborado datos de contraseña y usuario (creo que estás haciendo políticas de usuario). Además también debiste haber chequeado que el USER y el password son correctos para crear la sesion con su nombre por ejemplo

..........................

espero te sirva .. salu2

Holas joaowizard yo uso esta session.php incluido en todos los modulos

Código PHP:

  <?php 
include("database.php"); 
//include("mailer.php"); 
include("form.php"); 
 
class Session 
{ 
   var $username;     //Username given on sign-up 
   var $userid;       //Random value generated on current login 
   var $userlevel;    //The level to which the user pertains 
   var $time;         //Time user was last active (page loaded) 
   var $logged_in;    //True if user is logged in, false otherwise 
   var $userinfo = array();  //The array holding all user info 
   var $url;          //The page url current being viewed 
   var $referrer;     //Last recorded site page viewed 
   /** 
    * Note: referrer should really only be considered the actual 
    * page referrer in process.php, any other time it may be 
    * inaccurate. 
    */ 
 
   /* Class constructor */ 
   function Session(){ 
      $this->time = time(); 
      $this->startSession(); 
   } 
 
   /** 
    * startSession - Performs all the actions necessary to  
    * initialize this session object. Tries to determine if the 
    * the user has logged in already, and sets the variables  
    * accordingly. Also takes advantage of this page load to 
    * update the active visitors tables. 
    */ 
   function startSession(){ 
      global $database;  //The database connection 
      session_start();   //Tell PHP to start the session 
       
      /* Determine if user is logged in */ 
      $this->logged_in = $this->checkLogin(); 
 
      /** 
       * Set guest value to users not logged in, and update 
       * active guests table accordingly. 
       */ 
      if(!$this->logged_in){ 
         $this->username = $_SESSION['username'] = GUEST_NAME; 
         $this->userlevel = GUEST_LEVEL; 
         $database->addActiveGuest($_SERVER['REMOTE_ADDR'], $this->time); 
      } 
      /* Update users last active timestamp */ 
      else{ 
         $database->addActiveUser($this->username, $this->time); 
      } 
       
      /* Remove inactive visitors from database */ 
      $database->removeInactiveUsers(); 
      $database->removeInactiveGuests(); 
       
      /* Set referrer page */ 
      if(isset($_SESSION['url'])){ 
         //$this->referrer = $_SESSION['url']; 
         $this->referrer = "index.php?op=singin"; 
      }else{ 
         $this->referrer = "default.php"; 
      } 
 
      /* Set current url */ 
      $this->url = $_SESSION['url'] = $_SERVER['PHP_SELF']; 
   } 
 
   /** 
    * checkLogin - Checks if the user has already previously 
    * logged in, and a session with the user has already been 
    * established. Also checks to see if user has been remembered. 
    * If so, the database is queried to make sure of the user's  
    * authenticity. Returns true if the user has logged in. 
    */ 
   function checkLogin(){ 
      global $database;  //The database connection 
      /* Check if user has been remembered */ 
      if(isset($_COOKIE['cookname']) && isset($_COOKIE['cookid'])){ 
         $this->username = $_SESSION['username'] = $_COOKIE['cookname']; 
         $this->userid   = $_SESSION['userid']   = $_COOKIE['cookid']; 
      } 
 
      /* Username and userid have been set and not guest */ 
      if(isset($_SESSION['username']) && isset($_SESSION['userid']) && 
         $_SESSION['username'] != GUEST_NAME){ 
         /* Confirm that username and userid are valid */ 
         if($database->confirmUserID($_SESSION['username'], $_SESSION['userid']) != 0){ 
            /* Variables are incorrect, user not logged in */ 
            unset($_SESSION['username']); 
            unset($_SESSION['userid']); 
            return false; 
         } 
 
         /* User is logged in, set class variables */ 
         $this->userinfo  = $database->getUserInfo($_SESSION['username']); 
         $this->username  = $this->userinfo['username']; 
         $this->userid    = $this->userinfo['userid']; 
         $this->userlevel = $this->userinfo['userlevel']; 
         return true; 
      } 
      /* User not logged in */ 
      else{ 
         return false; 
      } 
   } 
 
   /** 
    * login - The user has submitted his username and password 
    * through the login form, this function checks the authenticity 
    * of that information in the database and creates the session. 
    * Effectively logging in the user if all goes well. 
    */ 
   function login($subuser, $subpass, $subremember){ 
      global $database, $form;  //The database and form object 
             
      /* Username error checking */ 
      $field = "user";  //Use field name for username 
      if(!$subuser || strlen($subuser = trim($subuser)) == 0){ 
         $form->setError($field, "* Username not entered"); 
      } 
      else{ 
         /* Check if username is not alphanumeric */ 
         if(!eregi("^([0-9a-z])*$", $subuser)){ 
            $form->setError($field, "* Username not alphanumeric"); 
         } 
      } 
 
      /* Password error checking */ 
      $field = "pass";  //Use field name for password 
      if(!$subpass){ 
         $form->setError($field, "* Password not entered"); 
      } 
       
      /* Return if form errors exist */ 
      if($form->num_errors > 0){ 
         return false; 
      } 
 
      /* Checks that username is in database and password is correct */ 
      $subuser = stripslashes($subuser); 
      $result = $database->confirmUserPass($subuser, md5($subpass)); 
 
      /* Check error codes */ 
      if($result == 1){ 
         $field = "user"; 
         $form->setError($field, "Username no encontrado!");          
      } 
      else if($result == 2){ 
         $field = "pass"; 
         $form->setError($field, "Invalido Password!"); 
      } 
       
      /* Return if form errors exist */ 
      if($form->num_errors > 0){ 
         return false; 
      } 
       
      /* Username and password correct, register session variables */ 
      $this->userinfo  = $database->getUserInfo($subuser); 
      $this->username  = $_SESSION['username'] = $this->userinfo['username']; 
      $this->userid    = $_SESSION['userid']   = $this->generateRandID(); 
      $this->userlevel = $this->userinfo['userlevel']; 
      header("Location: index.php?op=news" . SID); 
       
      /* Insert userid into database and update active users table */ 
      $database->updateUserField($this->username, "userid", $this->userid); 
      $database->addActiveUser($this->username, $this->time); 
      $database->removeActiveGuest($_SERVER['REMOTE_ADDR']); 
      exit; 
      /** 
       * This is the cool part: the user has requested that we remember that 
       * he's logged in, so we set two cookies. One to hold his username, 
       * and one to hold his random value userid. It expires by the time 
       * specified in constants.php. Now, next time he comes to our site, we will 
       * log him in automatically, but only if he didn't log out before he left. 
       */ 
      if($subremember){ 
         setcookie("cookname", $this->username, time()+COOKIE_EXPIRE, COOKIE_PATH); 
         setcookie("cookid",   $this->userid,   time()+COOKIE_EXPIRE, COOKIE_PATH); 
      } 
       
      /* Login completed successfully */ 
      return true; 
   } 
    
   /** 
    * logout - Gets called when the user wants to be logged out of the 
    * website. It deletes any cookies that were stored on the users 
    * computer as a result of him wanting to be remembered, and also 
    * unsets session variables and demotes his user level to guest. 
    */ 
   function logout(){ 
      global $database;  //The database connection 
      /** 
       * Delete cookies - the time must be in the past, 
       * so just negate what you added when creating the 
       * cookie. 
       */ 
      if(isset($_COOKIE['cookname']) && isset($_COOKIE['cookid'])){ 
         setcookie("cookname", "", time()-COOKIE_EXPIRE, COOKIE_PATH); 
         setcookie("cookid",   "", time()-COOKIE_EXPIRE, COOKIE_PATH); 
      } 
 
      /* Unset PHP session variables */ 
      unset($_SESSION['username']); 
      unset($_SESSION['userid']); 
 
      /* Reflect fact that user has logged out */ 
      $this->logged_in = false; 
       
      /** 
       * Remove from active users table and add to 
       * active guests tables. 
       */ 
      $database->removeActiveUser($this->username); 
      $database->addActiveGuest($_SERVER['REMOTE_ADDR'], $this->time); 
       
      /* Set user level to guest */ 
      $this->username  = GUEST_NAME; 
      $this->userlevel = GUEST_LEVEL; 
   } 
    
/** 
 * Initialize session object - This must be initialized before 
 * the form object because the form uses session variables, 
 * which cannot be accessed unless the session has started. 
 */ 
$session = new Session; 
 
/* Initialize form object */ 
$form = new Form; 
 
?>

y bueno aun nose como hacerle una function check_session .. hize como tu me dejaste pero no me sale

saludos

joaowizard · #5 (**permalink**) 07/09/2009, 17:37

bueno, lo que tienes que tener claro es QUÉ guardas en la variable sesion??

es decir, puedes guardar el NICK en la variable sesion, y luego con ese NICK hacer un chequeo de sesion en las páginas que requieras que por ejemplo solo entren los administradores. Me explico, tienes en una variable sesion un nick o un nombre, tus usuarios estarán LOGUEADOS en tu web, ahora bien, quieres que a UNA SECCION de tu web solo entren por ejemplo los administradores, qué haces ?? pues chequeas que el usuario en sesion [esa variable sesion que tienes guardada] tiene permisos de administrador, entonces, en las páginas que quieras que solo entren los administradores por ejemplo debes tener algo como esto al comienzo:

$nombre_se_la_sesion_activa = $_SESSION['s_username']; //le asignas a esa variable el nombre de la sesion en cuestión, ese nombre o NICK o como se llame lo usarás para crear un SELECT en tu base de datos de usuarios [donde estará ese nombre o nick] para ver la categoria [categoría, nivel o como le llames], algo así como:

$sql = "SELECT * FROM `usuarios` WHERE nick ='".$nombre_se_la_sesion_activa." AND categoria=administrador";//acá ese categoria debe ser el nombre de tu campo en tu base de datos, sea categoria, nivel o lo que fuere, y el "administrador" es el valor que permitirás acceder a esa seccion

$result = mysql_query($sql, $link);
$row = mysql_fetch_array($result);//

//en este $row si existe pues quiere decir que el usuario en sesion AHORA tiene la categoria o nivel administrador, entonces le dejo entrar a esa página, SINO, redirecciono o mando atrás ... espero haberme hecho explicar ..... salu2 !!!

GatorV · #6 (**permalink**) 07/09/2009, 18:30

Por otro lado recuerda que para redirigir con header no puedes enviar nada de texto antes de la llamada o por lo contrario te indica ese error.

Saludos.

sandrox23 · #7 (**permalink**) 08/09/2009, 12:36

Gracias x su ayuda pero yo quiero hacer es agregar una funcion a mi session.php algo asi:

Código PHP:

  function checklogin(){
session_start();
      if($_SESSION['username'] != GUEST_NAME))  // chekea si el usuario es un invitado ..
{
       if ($_SESSION['url'] = main.php?op=news) { // chekea si el usuario ve una web prohibida
header("Location: main.php?op=login" . SID);} // lo direcciona a login.php
       if ($_SESSION['url'] = main.php?op=otro) { // otra web prohibida para los invitados
header("Location: main.php?op=login" . SID);} // igual lo direcciona a login.php
  }
else
{
         return "";  // aqui si esta logeado deberia dejarte ver las webs ..
 }

algo asi deseo pero aun no se como hacelro. . saludos

GatorV no se como modifco esto para que me ande el header()

Código PHP:

  <?php
}
else {
echo "Tu no estas logeado, por favor ingresa a login.php";
}
?>

saludos