expertos para autenticar!!

mafima · #1 (**permalink**) 01/05/2004, 09:51

Saludos
A los que tienen mas experiencia, les pido sus consejos, criticas y/o sugerencias a este script
que utilizo para autenticar un usuario... lo que nesecito es que me quede muy muy segura la pagina... gracias

Código PHP:

 
session_start(); 
$base="users";  
# recogemos en una variable el nombre de la TABLA  
$tabla="users";  
# establecemos la conexion con el servidor  
$conexion=mysql_connect("localhost","to","to");  
mysql_select_db($base,$conexion); 
//la variable user y pass son pasadas por un formulario con metodo post  
$resultado= mysql_query("SELECT nick, pass FROM $tabla WHERE (nick= '$user'&& pass='$pass') ",$conexion);  
$registro = mysql_fetch_row($resultado); 
if ( !$registro[0]== "" ){ 
    $x = 5; 
} 
else{ 
$x = 1; 
} 
# cerramos la conexion  
 mysql_close();   
?> 
 
<? 
if ($x == 5){ 
echo ("datos correctos"); 
$_SESSION['usuario_id']=$user; 
inlcude_once ("../panel.php"); 
    } 
else{ 
echo ("vuelve a intentarlo, sus datos no son correctos");     
} 
?>

inicio una sesion, por que la autenticación que pido, es para un panel de control, lo que significa que constantemente necesito saber de que usuario se trata...

unerror que me parec muy curioso es el siguiente:
cuando entro al script de validación directamante(osea, sin utilizar el formulario)me carga la pagina y me dice "vuelva a intentarlo..." eso esta bien, pero si doy click en el boton atras del explorador, y luego doy click en el boton de adelante del navegador, entonces me aparece el siguiente error:
Parse error: parse error, expecting `T_STRING' or `T_VARIABLE' or `T_NUM_STRING' in C:\apache\htdocs\uniderecho v1.2\php\valida.php

aun no se por que!!!!
de antemano muchas gracias, espero su pronta respuestas

Blag · #2 (**permalink**) 01/05/2004, 18:51

Bueno, para empezar, tanto en la validación como en el ingreso de nuevos usuarios, deberías utilizar una función de encriptación, como la MD5.

Un ejemplo:

Código PHP:

  $resultado= mysql_query("SELECT nick, pass FROM $tabla WHERE (nick= '$user'&& pass=md5('$pass')) ",$conexion);

En donde el password que se encuentra en la BD ya está encriptado con anterioridad.

El problema que mencionas cuando entras al script directamente, puede deberse a que no haces una comprobación de la sesión.

Código PHP:

  if(isset($_SESSION["administrador"]) == true) 
{ 
if($_SESSION["administrador"] == "miPassword") 
{ 
.......CODIGO...... 
} 
else 
{ 
.......CODIGO...... 
} 
else 
{ 
.......CODIGO...... 
} 
}

Un último consejo.....no declares las variables como globales, mejor utiliza:

Código PHP:

  $_POST['user'] 
$_POST['pass']

Saludos,

Blag

dexterl · #3 (**permalink**) 01/05/2004, 19:01

Justo eso iba a decir......

que pasaría si pones http://127.0.0.1/loquesea.php?x=5
Obviamente el intruso debería saebr cual es la variable y cuanl el valor, pero siendo que lo mostrás acá....

mafima · #4 (**permalink**) 01/05/2004, 22:39

muchas gracias por sus sugerencias...
las tendre muy en cuenta!!

eso del encriptado es algo que habia pasado por alto...

GRACIAS

Cluster · #5 (**permalink**) 02/05/2004, 10:49

El proceso de "Autenficación" pasa por dos cosas:

1) validar a tu usuario contra tu BD o médio de almacenamiento de tus datos a validar (usuario/contraseña o lo que corresponda)

2) "Tracking" (se escribe así?) "seguimiento" del usuario en sus páginas que requieran autentificación. Esto lo haces validando (como ya han comentado) las variables de sesión que habrás creado al autentificar a tu usuario .. Puede ser una variable tipo "flag" (bandera) como ese típico comprobar la existencia de una variable de la sesión (sin importar el valor) o bien definiendo alguna variable en la sesión como el típico "nombre del usuario" (y/o identificador de tu BD correspondiente a ese usuario) para usarlo en tus registros de acciones que haga ese usuario autentificado en tu aplicación.

Esta "teoría" es aplicable a cualquier sistema de autentificació sea basado en cookies, sesiones, o incluso autentificación HTTP donde es el própio servidor HTTP el que hace la comprobación (.htacces me refiero) u otros sistemas donde o bien nosotros (nuestra programación) tendrá que validar .. o ya lo harán otros médios.

Un saludo,