Foros del Web » Programando para Internet » PHP »

Seguridad de sesiones?

Estas en el tema de Seguridad de sesiones? en el foro de PHP en Foros del Web. Hola, He programado un pequeño sistema de login para administrar una parte de la web. Utiliza sesiones, es decir. Solo si se introduce el usuario ...
  #1 (permalink)  
Antiguo 22/06/2006, 05:10
.:Chimera:.
Invitado
 
Mensajes: n/a
Puntos:
Pregunta Seguridad de sesiones?

Hola,

He programado un pequeño sistema de login para administrar una parte de la web.

Utiliza sesiones, es decir. Solo si se introduce el usuario y pass correcto se iniciará una sesion.

Me podría decir alguien si este sistema es seguro? o acaso es facil saltarselo??????

Saludos

PD: Por si os interesa, la contraseña está codificada en md5, esto aumenta la seguridad no?
  #2 (permalink)  
Antiguo 22/06/2006, 06:22
 
Fecha de Ingreso: noviembre-2005
Ubicación: Córdoba - Argentina
Mensajes: 155
Antigüedad: 12 años, 1 mes
Puntos: 1
Mira, si en cada pagina que queres restringir solo a usuarios haces una condicion preguntando si existe una sesion activa yo creo que va a ser seguro. La pagina sólo se mostraria si un usuario esta logeado...
Pero tambien depende mucho de como hayas hecho tu codigo.

Saludos!
  #3 (permalink)  
Antiguo 22/06/2006, 07:13
.:Chimera:.
Invitado
 
Mensajes: n/a
Puntos:
Hombre está claro, solo hay una página protegir "administrar.php" . Lo demás son funciones dentro de ella. Y he puesto al principio:
Código PHP:
session_start();
if(!
$_SESSION["username"]){ 
echo 
"No tienes permiso para acceder a esta sección.";
exit;
}
#y a partir de aqui va la administracion.........bla bla blA BLA.... 
Creo que está bien no?
  #4 (permalink)  
Antiguo 22/06/2006, 08:47
O_O
 
Fecha de Ingreso: enero-2002
Ubicación: Santiago - Chile
Mensajes: 34.417
Antigüedad: 15 años, 11 meses
Puntos: 126
En realidad deberías usar mejor la función empty() para esa validación de tu variable de sesión ..

Por lo demás .. el sistema como mencionas usando sesiones es seguro en general .. Como siempre .. si no usas SSL por ejemplo para encriptar los datos que viajan entre el cliente y el servidor (tus datos de login) .. podrán ser "capturados" por el camino .. Pero eso no es problema de tu código en sí o de PHP sino de la infraestructura de tu servidor HTTP y soporte de SSL (y que lo uses ...).

Cita:
PD: Por si os interesa, la contraseña está codificada en md5, esto aumenta la seguridad no?
Pero .. como haces esa codificación o donde la usas? .. Si lo usas para almacenar tu contraseña en tu BBDD .. es "seguro" en el punto de que nadie que entre a tu BBDD podrá ver esa contraseña (pero si el resto de datos que en tus tablas manejes ...).

Un saludo,
__________________
Por motivos personales ya no puedo estar con Uds. Fue grato haber compartido todos estos años. Igualmente los seguiré leyendo.
  #5 (permalink)  
Antiguo 22/06/2006, 09:19
Avatar de elcamaleon007  
Fecha de Ingreso: julio-2004
Ubicación: Asunción - Paraguay
Mensajes: 256
Antigüedad: 13 años, 4 meses
Puntos: 0
si tengo el usuario y contraseña en mi codigo (son los unicos que se pueden introducir) como es??
tambien quiero guardar los que introdujo el usuario y meterlos en una variable que sea valida para todas las paginas enlazadas..como creo una variable asi?? gracias
__________________
La diferencia entre el 1ro y el 2do son milésimas..si hariamos un poco mas de lo que hacemos normalmente..bue, creo que ya entendiste...Exitos!
  #6 (permalink)  
Antiguo 22/06/2006, 09:32
O_O
 
Fecha de Ingreso: enero-2002
Ubicación: Santiago - Chile
Mensajes: 34.417
Antigüedad: 15 años, 11 meses
Puntos: 126
Cita:
Iniciado por elcamaleon007
si tengo el usuario y contraseña en mi codigo (son los unicos que se pueden introducir) como es??
tambien quiero guardar los que introdujo el usuario y meterlos en una variable que sea valida para todas las paginas enlazadas..como creo una variable asi?? gracias
Sería recomendable que hagas tu pregunta en un tema nuevo .. si bien algo tiene de común con este mensaje: uso de sesiones y orientado a una autentifación de usuarios .. no es lo ideal mezclar temas.

De momento te invito a leer las FAQ's de este mensaje .. tienes ejemplos de uso de sesiones básico.

El tema de validar un "usuario" así .. forzado en código .. es sólo cosa de hacer un "IF()" simple con tu par de variables usuario/contraseña ..

Insisto .. intenta hacer algo por tu parte (leyendo las FAQ sobre sesiones y ese "if()" .. ) y publica tu tema nuevo en el foro ...

Un saludo,
__________________
Por motivos personales ya no puedo estar con Uds. Fue grato haber compartido todos estos años. Igualmente los seguiré leyendo.
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 17:40.