[SOLUCIONADO] seguridad en PHP y HTML

juan_r_ri · #1 (**permalink**) 02/07/2015, 07:55

tengo un server apache, con autenticacion al sitio principal, para la autenticacion utilice MySQL, el login se autentica con el user y pass que aloje en el PHPAdmin, sin embargo cuando ingreso a mi sitio web, lo hace sin problemas, la problemática surge, cuando escribo la ruta directa al sitio, se salta el login, osea no tiene seguridad el tema, me dicen que lo puedo hacer con una cookie, que deniegue el ingreso al sitio principal sin antes autenticarse, pero solo entiendo de redes, es para un proyecto, no se si se entiende el problema planteado, el login lo realizo en PHP y el sitio principal en html.

a modo de ejemplo:

el sitio web es el siguiente:

sistemadomotico.ddns.net, se visualiza sin problemas el login, me autetico y visualizo mi sitio web con la siguiente ruta: sistemadomotico.ddns.net/sitioweb.html.

la problematica es que si escribo la ruta completa en el browser: sistemadomotico.ddns.net/sitioweb.html, se salta el login y no es la idea.

agradecería enormemente su ayuda por favor, oajala haya alguien con buena voluntad, adjunto en un mediafire los archivos que utilizo para mi sitio. que tengo alojados todos juntos en la ruta /var/www/ de mi raspberry PI, cualquier ayuda sirve si saben del tema, ya que soy un real novato en esto.

PD: las fotos el script de conexion a mi base de datos y el logout no los adjunte. Solo el login y mi sitio web principal a modo de ejemplo.

www.mediafire.com/folder/625tfc07h0my3vf,ynpo2fbjwigjrf3/shared

xfxstudios · #2 (**permalink**) 02/07/2015, 07:59

yo utilizo este codigo de dreamweaver, pero imagino que hay algo mas corto, igual me funciona:

Código PHP:

Ver originalif (!isset($_SESSION)) {
  session_start();
}
$MM_authorizedUsers = "estandar,premium";
$MM_donotCheckaccess = "false";
 
// *** Restrict Access To Page: Grant or deny access to this page
function isAuthorized($strUsers, $strGroups, $UserName, $UserGroup) { 
  // For security, start by assuming the visitor is NOT authorized. 
  $isValid = False; 
 
  // When a visitor has logged into this site, the Session variable MM_Username set equal to their username. 
  // Therefore, we know that a user is NOT logged in if that Session variable is blank. 
  if (!empty($UserName)) { 
    // Besides being logged in, you may restrict access to only certain users based on an ID established when they login. 
    // Parse the strings into arrays. 
    $arrUsers = Explode(",", $strUsers); 
    $arrGroups = Explode(",", $strGroups); 
    if (in_array($UserName, $arrUsers)) { 
      $isValid = true; 
    } 
    // Or, you may restrict access to only certain users based on their username. 
    if (in_array($UserGroup, $arrGroups)) { 
      $isValid = true; 
    } 
    if (($strUsers == "") && false) { 
      $isValid = true; 
    } 
  } 
  return $isValid; 
}
 
$MM_restrictGoTo = "../index.php";
if (!((isset($_SESSION['MM_Username'])) && (isAuthorized("",$MM_authorizedUsers, $_SESSION['MM_Username'], $_SESSION['MM_UserGroup'])))) {   
  $MM_qsChar = "?";
  $MM_referrer = $_SERVER['PHP_SELF'];
  if (strpos($MM_restrictGoTo, "?")) $MM_qsChar = "&";
  if (isset($_SERVER['QUERY_STRING']) && strlen($_SERVER['QUERY_STRING']) > 0) 
  $MM_referrer .= "?" . $_SERVER['QUERY_STRING'];
  $MM_restrictGoTo = $MM_restrictGoTo. $MM_qsChar . "accesscheck=" . urlencode($MM_referrer);
  header("Location: ". $MM_restrictGoTo); 
  exit;
}

xfxstudios · #3 (**permalink**) 02/07/2015, 08:00

para no tener un monton de codigo utilizo una sola pagina con ese codigo y le hago include en las que lo necesito y listo.
prueba este tambien a ver si te sirve:

Código PHP:

Ver originalsession_start();
if(!isset($SESSION)){
header("location: validar_usuario.php");
} else {
echo "<html><body>";
echo "Bienvenido ";
echo $SESSION["k_username"];
echo "<br>Has entrado con el nombre de usuario ";
echo $SESSION["login"];
echo "<br>Para cerrar la sesión, pulsa: <a href='logout.php'>logout</a>";
echo "</body></html>";
}

juan_r_ri · #4 (**permalink**) 02/07/2015, 10:27

Amigo, como aplico ese script en mi sitio principal, la autenticacion se realiza mediante una base de datos en PHPAdmin, tengo un script que se llama conexion.php que realiza esa gestion, mi sitio preincipal esta en html, no en PHP, como implemento tu solución ?

De ante mano gracias.

xfxstudios · #5 (**permalink**) 02/07/2015, 12:19

para poder trabajar con autenticacion tu sitio debe estar en php y las paginas a denegar acceso tambien en php brother

juan_r_ri · #6 (**permalink**) 02/07/2015, 13:10

Amigo, ahi me funcó el tema, gracias !