Foros del web

mariomon17 · 09-feb-2010, 08:25

Hola a todos, he creado un sisitema de autentificacion de usuarios y queria saber que opinan de la seguridad que ofrece...

Pagina index.php
Envio por POST la contraseña a control.php

Control.php

Código PHP:

Ver originalCopiar<?php
switch (md5($_POST["pass"])){
   case "cbfad6f62b7588596261545e865cd980":
     session_start();
     $_SESSION["nom"]="sara";
     header("Location: panel.php");
   break;
   case "254289217f69e7288185528730643f65":
     session_start();
     $_SESSION["nom"]="mario";
     header("Location: panel.php");
   break;
   default:
     header("Location: index.php?error=yes");
}
?>

Cita:

La pagina solo va a tener dos usuarios (mario y sara) por eso de session nom

Panel.php
Antes del codigo esta incrustado esto:

Código PHP:

Ver originalCopiar<?php
session_start();
if (($_SESSION["nom"] != "sara") && ($_SESSION["nom"] != "mario")){
  header("Location: index.php?zona=yes");
  exit();
}
?>

Cita:

Y luego en la pagina exit.php (a la q se accede desde un boton "Salir" en panel.php

Exit.php

Código PHP:

Ver originalCopiar<?php
session_start(); 
session_destroy(); 
header("Location: index.php");
?>

-------------------------------------------------------------------
Gracias a todos...

Hidek1 · 09-feb-2010, 08:42

esta bien... si no usas sql para los usuarios no debes preocuparte por las injection ni nada de eso asi que con eso deberia bastar

Triby · 09-feb-2010, 12:14

Solo agregaria un poco mas de seguridad comparando nombre y clave, es decir:

Código PHP:

Ver originalCopiarif($_POST['nombre'] == 'mario' && md5($contrase&#241;a) = 'md5-de-contraseña-de-mario') {
      // Aqui inicias la sesion de mario y rediriges
} else if( verificacion de datos de sara) {
      // Aqui inicias la sesion de sara y rediriges
} else {
      // Aqui rediriges a pagina de error
}

morior · 09-feb-2010, 12:43

Eso te funciona? lo has probado?? lo digo porque el session_start(); no lo tienes al principio de todo. Sólo un comentario.

david_M_G · 09-feb-2010, 13:51

¿Y para qué quieres usar MD5 en este caso? Ahí no te hace nada. La contraseña la estás pasando vía "POST" tal cual es (no cifrada), que es donde está el riesgo.

Quiero decir que el riesgo está en el viaje de esa contraseña, mientras se tramita la información, o el lugar donde se almacena (como podría ser la base de datos). En tu caso, la estás cifrando y comparando en el mismo lugar, que por cierto es ya seguro (nadie accederá al contenido del .php)

Es lo mismo:

Código:

if ($contra == 12345)

Que:

Código:

if(cifrar($contra) == cifrar(12345))

Vamos, que no es que sea un error, pero no sirve absolutamente de nada por si lo pensabas. (Y si me equivoco que me corrija alguien)
La MD5 viene bien tenerla cifrada por ejemplo si la almacenas en SESSION o en una COOKIE, que son datos a los que el usuario puede acceder.

Suerte

Hidek1 · 09-feb-2010, 13:57

por eso mismo yo tambien dije que daba lo mismo si no interactuaba con sql =)

mariomon17 · 09-feb-2010, 16:33

Cita:

Iniciado por Triby

Solo agregaria un poco mas de seguridad comparando nombre y clave, es decir:

Código PHP:

Ver originalCopiarif($_POST['nombre'] == 'mario' && md5($contraseña) = 'md5-de-contraseña-de-mario') {
      // Aqui inicias la sesion de mario y rediriges
} else if( verificacion de datos de sara) {
      // Aqui inicias la sesion de sara y rediriges
} else {
      // Aqui rediriges a pagina de error
}

De momento solo quiero que sea una contraseña, sin nombres de usuarios ni nada.

Cita:

Iniciado por morior

Eso te funciona? lo has probado?? lo digo porque el session_start(); no lo tienes al principio de todo. Sólo un comentario.

Si, me funciona perfecto. session_start lo incluyo al principio de todas las paginas.

------------------------------------
Muchas gracias a todos.
Proximamente (si amplio este sistema) los usuarios vendras de una base de datos...

09-feb-2010, 08:25	#1 (permalink)
mariomon17 126 Mensajes	Seguridad sistema autentificacion usuario. Hola a todos, he creado un sisitema de autentificacion de usuarios y queria saber que opinan de la seguridad que ofrece... Pagina index.php Envio por POST la contraseña a control.php Control.php Código PHP: Ver original Copiar <?php switch (md5($_POST["pass"])){ case "cbfad6f62b7588596261545e865cd980": session_start(); $_SESSION["nom"]="sara"; header("Location: panel.php"); break; case "254289217f69e7288185528730643f65": session_start(); $_SESSION["nom"]="mario"; header("Location: panel.php"); break; default: header("Location: index.php?error=yes"); } ?> Cita: La pagina solo va a tener dos usuarios (mario y sara) por eso de session nom Panel.php Antes del codigo esta incrustado esto: Código PHP: Ver original Copiar <?php session_start(); if (($_SESSION["nom"] != "sara") && ($_SESSION["nom"] != "mario")){ header("Location: index.php?zona=yes"); exit(); } ?> Cita: Y luego en la pagina exit.php (a la q se accede desde un boton "Salir" en panel.php Exit.php Código PHP: Ver original Copiar <?php session_start(); session_destroy(); header("Location: index.php"); ?> ------------------------------------------------------------------- Gracias a todos...

09-feb-2010, 08:42	#2 (permalink)
Hidek1 1.555 Mensajes Ubicación: 127.0.0.1	Respuesta: Seguridad sistema autentificacion usuario. esta bien... si no usas sql para los usuarios no debes preocuparte por las injection ni nada de eso asi que con eso deberia bastar __________________ ▷ Utiliza Templates con PHP ☯ Cada vez que no me das karma, dios mata a un usuario de forosdelweb.. ☯

09-feb-2010, 12:14	#3 (permalink)
Triby Colaborador 2.944 Mensajes Ubicación: $guanajuato['Leon'];	Respuesta: Seguridad sistema autentificacion usuario. Solo agregaria un poco mas de seguridad comparando nombre y clave, es decir: Código PHP: Ver original Copiar if($_POST['nombre'] == 'mario' && md5($contraseña) = 'md5-de-contraseña-de-mario') { // Aqui inicias la sesion de mario y rediriges } else if( verificacion de datos de sara) { // Aqui inicias la sesion de sara y rediriges } else { // Aqui rediriges a pagina de error } __________________ La vida es lo que te pasa mientras estas haciendo otros planes - John Lennon - León, Guanajuato - QuintoSol

09-feb-2010, 12:43	#4 (permalink)
morior 276 Mensajes Ubicación: Barcelona	Respuesta: Seguridad sistema autentificacion usuario. Eso te funciona? lo has probado?? lo digo porque el session_start(); no lo tienes al principio de todo. Sólo un comentario. __________________ Un nuevo concepto de estrategia: www.guered.es

09-feb-2010, 13:51	#5 (permalink)
david_M_G 915 Mensajes	Respuesta: Seguridad sistema autentificacion usuario. ¿Y para qué quieres usar MD5 en este caso? Ahí no te hace nada. La contraseña la estás pasando vía "POST" tal cual es (no cifrada), que es donde está el riesgo. Quiero decir que el riesgo está en el viaje de esa contraseña, mientras se tramita la información, o el lugar donde se almacena (como podría ser la base de datos). En tu caso, la estás cifrando y comparando en el mismo lugar, que por cierto es ya seguro (nadie accederá al contenido del .php) Es lo mismo: Código: if ($contra == 12345) Que: Código: if(cifrar($contra) == cifrar(12345)) Vamos, que no es que sea un error, pero no sirve absolutamente de nada por si lo pensabas. (Y si me equivoco que me corrija alguien) La MD5 viene bien tenerla cifrada por ejemplo si la almacenas en SESSION o en una COOKIE, que son datos a los que el usuario puede acceder. Suerte

09-feb-2010, 13:57	#6 (permalink)
Hidek1 1.555 Mensajes Ubicación: 127.0.0.1	Respuesta: Seguridad sistema autentificacion usuario. por eso mismo yo tambien dije que daba lo mismo si no interactuaba con sql =) __________________ ▷ Utiliza Templates con PHP ☯ Cada vez que no me das karma, dios mata a un usuario de forosdelweb.. ☯

09-feb-2010, 16:33	#7 (permalink)
mariomon17 126 Mensajes	Respuesta: Seguridad sistema autentificacion usuario. Cita: Iniciado por Triby Solo agregaria un poco mas de seguridad comparando nombre y clave, es decir: Código PHP: Ver original Copiar if($_POST['nombre'] == 'mario' && md5($contraseña) = 'md5-de-contraseña-de-mario') { // Aqui inicias la sesion de mario y rediriges } else if( verificacion de datos de sara) { // Aqui inicias la sesion de sara y rediriges } else { // Aqui rediriges a pagina de error } De momento solo quiero que sea una contraseña, sin nombres de usuarios ni nada. Cita: Iniciado por morior Eso te funciona? lo has probado?? lo digo porque el session_start(); no lo tienes al principio de todo. Sólo un comentario. Si, me funciona perfecto. session_start lo incluyo al principio de todas las paginas. ------------------------------------ Muchas gracias a todos. Proximamente (si amplio este sistema) los usuarios vendras de una base de datos...

Herramientas
Mostrar Versión Imprimible Enviar por Correo
Desplegado
Modo lineal Cambiar a Modo Hibrido Cambiar a Modo Hilado