usuarios si, usuarios no...

asus090102 · #1 (**permalink**) 28/06/2012, 21:01

Hola queridos amigos del cerebrito loco. Este es el mejor sitio de internet leeeejos y gracias a ustedes he aprendido muchisimo y me llena de orgullo poder escribirles.
Esta vez tengo una pequeña duda:
Tengo mi base mysql y mi sitio armado con php, seguridad por usuarios registrados en mi base de datos y un funcionamiento perfecto.
Lo que quisiera aprender (que me ayuden porfa) es: Quisira ver que segun el usuario logueado, este pueda ver ciertos campos y botones de mi index php. De esta forma podria tener o no acceso a ciertas zonas del sitio. Un administrador vería todo y los demas usuarios verian solo lo que se le condiciona. Es posible, hay código para esto?

Por ahora mi seguridad es esta:

Código PHP:

  <? 
require 'conexion.php' ; 
if($_POST[enviar]) { 
function quitar($texto) { 
$texto = trim($texto) ; 
$texto = htmlspecialchars($texto) ; 
# --> Elimina espacios que no pueden ser borrados por trim() 
$texto = str_replace(chr(160),'',$texto) ; 
return $texto ; 
} 
$nick = quitar($_POST[nick]) ; 
$contrasena = md5(md5(quitar($_POST[contrasena]))) ; 
$con = mysql_query("select id,contrasena from usuarios where nick='$ni$ 
$datos = mysql_fetch_assoc($con) ; 
if(mysql_num_rows($con)) { 
if($datos[contrasena] == $contrasena) { 
setcookie('uid',$datos[id],time()+604800) ; 
setcookie('unick',$nick,time()+604800) ; 
setcookie('ucontrasena',$contrasena,time()+604800) ; 
header("location: $_SERVER[HTTP_REFERER]") ; 
} 
else { 
echo 'La clave es incorrecta.' ; 
} 
} 
else { 
echo 'El nick no existe.' ; 
} 
} 
?>

Código PHP:

  <? 
require 'conexion.php' ; 
if($_POST[enviar]) { 
function quitar($texto) { 
$texto = trim($texto) ; 
$texto = htmlspecialchars($texto) ; 
# --> Elimina espacios que no pueden ser borrados por trim() 
$texto = str_replace(chr(160),'',$texto) ; 
return $texto ; 
} 
$nick = quitar($_POST[nick]) ; 
$contrasena = md5(md5(quitar($_POST[contrasena]))) ; 
$con = mysql_query("select id,contrasena from usuarios where nick='$ni$ 
$datos = mysql_fetch_assoc($con) ; 
if(mysql_num_rows($con)) { 
if($datos[contrasena] == $contrasena) { 
setcookie('uid',$datos[id],time()+604800) ; 
setcookie('unick',$nick,time()+604800) ; 
setcookie('ucontrasena',$contrasena,time()+604800) ; 
header("location: $_SERVER[HTTP_REFERER]") ; 
} 
else { 
echo 'La clave es incorrecta.' ; 
} 
} 
else { 
echo 'El nick no existe.' ; 
} 
} 
?>

M U C H I S I M A S G R A C I A S ! ! ! ! ! !

rodrigo791 · #2 (**permalink**) 28/06/2012, 21:13

Código PHP:

Ver original$con = mysql_query("select id,contrasena from usuarios where nick='$ni$ 
$datos = mysql_fetch_assoc($con) ; 
if(mysql_num_rows($con)) { 
if($datos[contrasena] == $contrasena) { 
setcookie('uid',$datos[id],time()+604800) ; 
setcookie('unick',$nick,time()+604800) ; 
setcookie('ucontrasena',$contrasena,time()+604800) ;

y esto que es?
mezclas una consulta sql con cookies y condicionales if?

te esta faltando cerrar alguna comilla por ahi fijate

Nemutagk · #3 (**permalink**) 28/06/2012, 21:18

Joder, no puedo evitar comenzar con "jalarte las orejas", como es posible que guardes la contraseña en una cookie, no importa si "hasheas" dos veces la contraseña, es lo mas inseguro que puedas hacer, aparte, no usas comillas en los "index" de los super array $_SERVER, $_POST, etc, siempre debes usar comillas ya que PHP los puede interpretar como "constantes", en fin, para tu problema, deberás guardar en una cookie el "nivel" de usuario, así después puedes verificar el nivel del usuario y mostrar u ocultar código HTML..., solo una cosa, te recomiendo encarecidamente que para esto no uses cookies, usa sesiones, o si las usas "hashes" o encriptes el valor y no uses nombres obvios para que los usuario no esten "tentados" de manipular el valor de dicha cookie y que se haga pasar por un administrador por ejemplo...

rodrigo791 · #4 (**permalink**) 28/06/2012, 21:26

Como dice este señor, las cookies son totalmente manipulables, si vos dejas una cookie en mi pc, yo la abro, veo su contenido, y si los datos en esa cookie no corresponden a mi usuario entonces ya me hice con un usuario que no me corresponde, USA VARIABLES DE SESSION

asus090102 · #5 (**permalink**) 28/06/2012, 22:02

ok ok ok ok, NO SE ME PONGAN VIOLENTOS, JAJAJAJA. Lo de las comillas y malas escrituras es porque ese es el código de un block de notas que deje a medio terminar ya que no tengo en este momento el ingreso a la base como para copiar el codigo correcto, perdon por eso, Y con el tema de las cookies tienen toda la razon pero trate de entender como crear sesiones y no me dio la cabeza o no le preste la suficiente atencion. Y por eso utilize este método. Voy a reveer el tema de las sesiones, gracias por las respuestas .

Empiezo por aca?
http://www.forosdelweb.com/f142/configurar-manejo-sesiones-924279/

Chico3001 · #6 (**permalink**) 28/06/2012, 22:43

Yo lo hago simple... al inicio de cada pagina mando llamar un archivo que se encarga de revisar los permisos... y en base a eso voy construyendo los menus...

Al loguearse el usuario le asigno un token que almaceno en la variable de sesion, despues cuando entra a diferentes partes reviso ese token contra lo que esta almacenado en la base de datos y ejecuto una serie de acciones secuenciales

primero se revisa si la sesion ha expirado, en caso negativo redirijo a la persona a la ventana de login para que se de de alta de nuevo, en el caso contrario actualizo la hora de expiracion y obtengo los permisos del usuario, que almaceno en un objeto

Y con eso voy construyendo el menu del siguiente modo:

Código PHP:

  $menu_sup = new menu(); 
$menu_sup->anadir('Opcion 1', 'opcion1.php', 'clase_menu'); 
if ($utilz->(level1)) 
    $menu_sup->anadir('level1', 'level1.php', 'clase_menu'); 
if ($utilz->admin()) 
    $menu_sup->anadir('Admin', 'admin.php', 'clase_menu');

Y asi me la voy llevando hasta terminar los menus...

asus090102 · #7 (**permalink**) 01/07/2012, 10:45

uuuhhh, buenisimo, entendí, ya me pongo, gracias por la ayuda. Muy groso lo tuyo. Un abrazo grande