Foros del Web » Programando para Internet » PHP »

Sugerencias para envio de datos de formulario a otro formulario

Estas en el tema de Sugerencias para envio de datos de formulario a otro formulario en el foro de PHP en Foros del Web. Supongamos que tengo un login.htm donde se ingrese el user y pass por form se envian a "panel.php?func=auth" en donde se hace la comprobacion de ...
  #1 (permalink)  
Antiguo 17/04/2005, 15:32
 
Fecha de Ingreso: abril-2005
Ubicación: Piura - Perú
Mensajes: 189
Antigüedad: 12 años, 7 meses
Puntos: 0
Sugerencias para envio de datos de formulario a otro formulario

Supongamos que tengo un login.htm donde se ingrese el user y pass por
form se envian a "panel.php?func=auth" en donde se hace la comprobacion
de user y pass el mismo "panel.php?func=auth" genera luego de hacer la
comprobacion un pequeño panel donde hay diferentes opciones.. ahora!
una de las opciones que hay en el panel es para revisar la cuenta de
mail. Pero para poder revisar la cuenta de mail se necesitan enviar los
datos de usuario y password de forma POST, y la unica solucion hasta ahora
que eh encontrado es.. algo asi..

Código PHP:
<?
function auth() { 
$usuario$_POST["usuario"]; 
$password $_POST["password"]; 
... 
' aqui se hace la comprobacion de user y pass de login.htm
... ' 
si es correcto genera el panel donde estan las opciones 
... ' como revisar mail
?>
<form name="viewmail" method="post" action="loginMail.asp">
<input type="hidden" name="usuario" value="<? $usuario ?>@host.com">
<input type="hidden" name="contraseña" value="<? $password ?>">
</form>
<a href="javascript:document.viewmail.submit();">Entrar a mail </a>
<? } 
... ' 
acaba la function auth() y siguen las demas funciones
PERO!!! no es seguro ya que si ven el codigo de "panel.php?func=auth"
aparece el usuario y contraseña como codigo html y no es seguro, alguna
sugerencia seria buena para conocer
  #2 (permalink)  
Antiguo 17/04/2005, 16:03
 
Fecha de Ingreso: enero-2004
Ubicación: Salto
Mensajes: 484
Antigüedad: 13 años, 11 meses
Puntos: 2
utiliza la funcion md5() para encriptar la contraseña. entonces lo q se vería si alguien ve el código fuente de la página no podría descifrarlo
__________________
Dios dira que esto no es justo, pero lo sera...
  #3 (permalink)  
Antiguo 17/04/2005, 16:35
Avatar de SAGITARIO  
Fecha de Ingreso: febrero-2005
Ubicación: Huancayo
Mensajes: 108
Antigüedad: 12 años, 9 meses
Puntos: 0
Validar & Password

A lo mejor este link te puede ayudar !!!


http://www.forosdelweb.com/showthrea...ight=sagitario
  #4 (permalink)  
Antiguo 17/04/2005, 16:47
 
Fecha de Ingreso: agosto-2004
Mensajes: 195
Antigüedad: 13 años, 3 meses
Puntos: 0
qué hace la función md5() ... ???.. ya veo que encriptar, pero podrías argumentar... ???...

cómo funciona esto de encritpar una contraseña... ??.. me imagino que uno debe encriptarla con javascript antes de enviarla al servidor,,, porque si la envía al servidor sin encriptar,, para luego encriptarla con PHP y guardarla en la base de datos no hay seguridad me imagino..

saludos.
leo.
__________________
http://www.qbanitas.com - Las chicas más lindas de Cuba.

http://www.santaclarahostel.com - casas particulares en Santa Clara, la ciudad del Che.
  #5 (permalink)  
Antiguo 17/04/2005, 17:10
 
Fecha de Ingreso: abril-2005
Ubicación: Piura - Perú
Mensajes: 189
Antigüedad: 12 años, 7 meses
Puntos: 0
muchas gracias por las ayudas, me parece muy bien usar el md5 para que la contraseña este encriptada y ayude a dar más seguridad.. en caso habria otra manera para enviar los datos de ya de antemano logeados a otra pagina como es el caso de loginMail.asp (require los datos ser enviados por POST), desde php ó la unica manera seria la que doy a conocer usando input's hidden.. gracias
  #6 (permalink)  
Antiguo 17/04/2005, 18:12
 
Fecha de Ingreso: abril-2005
Ubicación: Montevideo, Uruguay
Mensajes: 102
Antigüedad: 12 años, 8 meses
Puntos: 0
No es por ser aguafiestas, pero no te sirve de nada encriptar la contraseña, porque vas a postear la contraseña encriptada a loginMail.asp y no va a saber qué hacer co ella. O mejor dicho, la contraseña no va a validar ni a garrote en el webmail.

Hasta ahora no se me ocurre una forma más segura que poner la contraseña plana en la página y que funcione.

Saludos
__________________
Mauricio Etcheverry

WebMaster de YoReparo.com
  #7 (permalink)  
Antiguo 17/04/2005, 18:15
 
Fecha de Ingreso: abril-2005
Ubicación: Montevideo, Uruguay
Mensajes: 102
Antigüedad: 12 años, 8 meses
Puntos: 0
La única salvedad a lo anterior dicho es que loginMail.asp esté a tu alcance, y lo puedas modificar para que acepte por entrada el md5 de la contraseña.

Pero aún así vas a estar en la misma, pues bastaría con que alguien conozca el md5 para poder entrar.

Saludos!
__________________
Mauricio Etcheverry

WebMaster de YoReparo.com
  #8 (permalink)  
Antiguo 17/04/2005, 18:19
 
Fecha de Ingreso: abril-2005
Ubicación: Montevideo, Uruguay
Mensajes: 102
Antigüedad: 12 años, 8 meses
Puntos: 0
Perdón, estoy pensando a intervalos, tendría que editar el primer post pero esto es más rápido.

Yo intentaría hacer un script que se encargue del login al webmail, que postee utilizando CURL el usuario y contraseña a loginMail.asp para levantar una sesión en el webmail, y que luego de levantar una sesión, capture el session_id y redirija al cliente al webmail colocándolo dentro de la sesión creada, sea armando una URL con el session_id incluído o creando en el cliente un cookie con el session_id. Esto va a depender de cómo trabaje loginMail.asp.

Esto puede funcionar en el caso de que el webmail no esté controlando la dirección IP desde la que se logea el usuario.

Todas las demás soluciones son del lado del cliente y siempre van a revelar la contraseña.

Saludos!
__________________
Mauricio Etcheverry

WebMaster de YoReparo.com
  #9 (permalink)  
Antiguo 18/04/2005, 08:52
O_O
 
Fecha de Ingreso: enero-2002
Ubicación: Santiago - Chile
Mensajes: 34.417
Antigüedad: 15 años, 11 meses
Puntos: 126
Sería buena idea usar cURL ... y si es posible en conexión segura (SSL) .. pero todo depende de como funcione ese ".asp" .. Por lo menos con cURL se pueden gestionar cookies comodamente (por si las genera ese webmail).

más info:
www.php.net/curl

Un saludo,
  #10 (permalink)  
Antiguo 18/04/2005, 09:26
 
Fecha de Ingreso: abril-2005
Ubicación: Montevideo, Uruguay
Mensajes: 102
Antigüedad: 12 años, 8 meses
Puntos: 0
La verdad que CURL es un sueño. Se puede hacer todo lo que hace un navegador web.

En este caso, si no puede redirijir al navegador del cliente a la sesión, por algún control de dirección IP, podría hasta hacer una especie de proxy transparente para la sesión conectándose por CURL al webmail y sirviendo los resultados al navegador. Ya sería medio complicado pero factible.

Saludos!
__________________
Mauricio Etcheverry

WebMaster de YoReparo.com
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 15:03.