Usario y Password correctos con MySQL y PHP

alvarols · #1 (**permalink**) 12/11/2012, 16:36

Pongo esta pregunta aquí porque abarca tanto PHP como MySQL

Estoy haciendo un código para que el sistema verifique que el usuario y el password sean correctos. Pero con lo que tengo problemas es que pueda verificar que ese password corresponda a ese usuario. Tengo este código pero el problema con el es que le daría acceso si pone su usuario y un password que es de otro usuario.

Código PHP:

Ver original<?php
            $aceptar=$_POST['aceptar'];
            if ($aceptar=="") // SI EL BOTON DE ACEPTAR NO HA SIDO PRESIONADO
             {
        ?>  
        <form method="post" action="<?php $PHP_SELF ?>"> 
        Usuario: <br /><input type="text" name="login"> <br>
        Password: <br /><input type="password" name="password"><br> 
       <input type="submit" name="aceptar" value="aceptar">&nbsp&nbsp
       <input type="reset" name="borrar" value="Borrar"> 
        </form>
        <?php
          } // CERRAMOS EL IF($ACEPTAR=="" )
          else // EN CASO CONTRARIO, EN EL QUE SE HAYA PRESIONADO ACEPTAR
          { 
            //password
            $login=$_POST['login'];
            $password=$_POST['password'];
            $encriptado=md5($password);
            mysql_select_db("wordpress",$conectar);
            $sql ="SELECT * FROM password";
            $resp = mysql_query($sql) or die(mysql_error());
            while($columna = mysql_fetch_array($resp))
            {
                $nombrefinal=  $columna['Nombre'];
                $passwordfinal= $columna['Password'];
            }
                if (($nombrefinal!=$login)||($passwordfinal!=$encriptado)) {
        ?>
        <h2>Alguno de los datos que ingresaste es incorrecto</h2>  
        <form method="post" action="<?php $PHP_SELF ?>"> 
        Usuario: <br /><input type="text" name="login"> <br>
        Password: <br /><input type="password" name="password"><br>
       <input type="submit" name="aceptar" value="aceptar">&nbsp&nbsp
       <input type="reset" name="borrar" value="Borrar"> 
        </form>
        <?php   
                } else {
                    $_SESSION['login']=$login;
                    $_SESSION['password']=$encriptado;
                    echo "<meta http-equiv='refresh' content='0; URL=curriculums.php'>";
                }
        ?>
        <?php  } ?>

scorpion3d · #2 (**permalink**) 12/11/2012, 17:27

lo que dices no creo que pase en esa consulta.

ya elaboraste una prueba de lo que estas diciendo?

por otro lado, una cosa es que funcione y la otra que lo haga de la manera mas optima,

te sugiero que busques ejemplos en la web

oliverf2 · #3 (**permalink**) 12/11/2012, 17:27

Veo bastantes cosas que deberias de mejorar en tu codigo... para empezar kreo q una tabla q se llame password no le veo muxo sentido,realmente password es un atributo de la tabla user! Otra cosa, en la select, deberias filtrar por el USER y PASSWORD introducidos en el formulario, y comprobar si el usuario existe mediante mysql_num_rows...

algo asi te aconsejo

Código PHP:

          $comprobacion = mysql_query("select * from USER where 
            USERNAME = '"  . mysql_real_escape_string($this->user) . "'
            and PASSWORD = '" . mysql_real_escape_string(MD5($this->password)) ."'");
        if (mysql_num_rows($comprobacion) = 1) 
        { 
            mysql_free_result($comprobacion);
            return true;
        }else {
            mysql_free_result($comprobacion);
            return false;
        }

LuaToto · #4 (**permalink**) 12/11/2012, 17:30

La logica a seguir al iniciar sesion es buscar en tu tabla de usuarios el nombre de usuario que corresponda al que se acaba de logear, y si lo encuentra seleccionar de ese registro el campo donde tiene su contraseña, de esta manera la contraseña del usuario siempre corresponde a un solo usuario, para esto obviamente no debe de haber dos ususarios con el mismo nombre ya que esto no cumpliria con la integridad al estar admitiendo usuarios duplicados, Antes de gurdar un nuevo usuario debes de validar que no exista.

Con esto quiero darte a entender que tu algoritmo que seguiste para programar el inicio de sesion esta un poquito mal

alvarols · #5 (**permalink**) 12/11/2012, 17:31

Muchas gracias, voy a probarlo.

No, en la tabla password es donde tengo los usuarios con su password, no es una tabla diferente.

alvarols · #6 (**permalink**) 12/11/2012, 17:37

Cita:

Iniciado por LuaToto

La logica a seguir al iniciar sesion es buscar en tu tabla de usuarios el nombre de usuario que corresponda al que se acaba de logear, y si lo encuentra seleccionar de ese registro el campo donde tiene su contraseña, de esta manera la contraseña del usuario siempre corresponde a un solo usuario, para esto obviamente no debe de haber dos ususarios con el mismo nombre ya que esto no cumpliria con la integridad al estar admitiendo usuarios duplicados, Antes de gurdar un nuevo usuario debes de validar que no exista.

Con esto quiero darte a entender que tu algoritmo que seguiste para programar el inicio de sesion esta un poquito mal

De hecho en esta parte no necesito esa comprobación por lo siguiente. Este formulario es para que los empleadores puedan buscar currículums. Antes de poder entrar aquí ellos se dan de alta en la página (hecha en Wordpress) con un usuario y un password (aquí si hay verificación porque el sistema de administración es un plugin de Wordpress). En ese formulario se le pregunta al usuario si desea también tener acceso a la sección de empleadores (que es lo que estoy haciendo) y si así es, a mi cliente le va a llegar la solicitud.

Mi cliente es el que se encargará de dar de alta a los usuarios en la sección de empleadores (que mandaron su solicitud), y naturalmente no puede estar duplicado porque serán los mismos datos con los que se registraron previamente.

alvarols · #7 (**permalink**) 12/11/2012, 18:04

Cita:

Iniciado por oliverf2

Veo bastantes cosas que deberias de mejorar en tu codigo... para empezar kreo q una tabla q se llame password no le veo muxo sentido,realmente password es un atributo de la tabla user! Otra cosa, en la select, deberias filtrar por el USER y PASSWORD introducidos en el formulario, y comprobar si el usuario existe mediante mysql_num_rows...

algo asi te aconsejo

Código PHP:

          $comprobacion = mysql_query("select * from USER where  
            USERNAME = '"  . mysql_real_escape_string($this->user) . "' 
            and PASSWORD = '" . mysql_real_escape_string(MD5($this->password)) ."'"); 
        if (mysql_num_rows($comprobacion) = 1)  
        {  
            mysql_free_result($comprobacion); 
            return true; 
        }else { 
            mysql_free_result($comprobacion); 
            return false; 
        }

Ojo que me salió esto:

Warning: mysql_num_rows() expects parameter 1 to be resource, boolean given in E:\wamp\www\clientes\consulte\admin\index.php on line 27

Warning: mysql_free_result() expects parameter 1 to be resource, boolean given in E:\wamp\www\clientes\consulte\admin\index.php on line 41

oliverf2 · #8 (**permalink**) 12/11/2012, 18:08

Ese error es debido a que ha habido algun problema con la consulta,puesto que la funcion mysql_num_rows no esta recibiendo el valor que esperaba ( por lo tanto, ha habido algun fallo en la consulta o en la conexion de la base de datos)