Validar mail y password con PDO - Pequeño inconveniente

loncho_rojas · #1 (**permalink**) 30/09/2014, 15:02

Buenas, me gustaría que me ayuden a resolver esto de manera inteligente y acorde con la necesidad que tengo.

Bueno, resulta que hago un logueo y utilizo PDO, y me surge un tropiezo de que necesito limitar la cantidad de intentos del usuario. Mi jefe me ha pedido que por seguridad bloquee al usuario por X tiempo, por seguridad, ya sea que estén intentando usar su identidad o que sea un robot. Tiene sus PRO y CONTRAS. Se entiende.

El inconveniente es el siguiente, no es tan grave, pero debo saltarlo, pido por SQL los datos por el EMAIL, que sería el usuario... Si verifico que el mail existe, como segundo paso comparo las claves. Si la clave es correcta, lo logueo y reseteo los intentos, si tiene un fallo de clave hago un update para sumar un intento fallido... mi gran problema se da en la SEGURIDAD del DATO PASSWORD.. verán porque en el código.

Código PHP:

  //recibo los datos ya validados por JS
$email = $_POST["email"];
$clave = $_POST["password"];

//como ejemplo, verifico si el mail existe
$sql_login="SELECT * FROM users WHERE emailUser = :email";    
$resultado_login = $dbcon->prepare($sql_login);
$resultado_login->bindParam(':email', $email, PDO::PARAM_STR);
$resultado_login->execute();

if($resultado_login->rowCount() == 1){
        echo "hay este mail<br>";
//busco los datos del user si existe
        $fila_usuario=$resultado_login->fetch();

        if($fila_usuario['intentos'] < 5){ echo "es menor a 5 intentos<br>";

            //ACA ESTA MI PROBLEMA... se dan cuenta que no BLINDÉ mi clave?
            if($fila_usuario['pass']== $clave){
//logue al usuario
            }else{
//hago un update para aumentar los intentos
$sql_in= "UPDATE users SET ultimointento=NOW(), intentos=intentos+1 WHERE idUser = :idUser";
        $insert= $dbcon->prepare($sql_in);
        $insert->bindParam(':idUser' , $fila_usuario['idUser'], PDO::PARAM_INT);
        $insert->execute();

            }

        }else{
//aqui hago el proceso de bloqueo si es que no ha pasado el tiempo de baneo
        }


}else{
            echo "<div class='campo_error'>
            <img src='login_temp/wrong.png' />
            La direcci&oacute;n de email ingresada no est&aacute; registrada
            </div>";
}

En la descripción explico el problema, que es.. al hacer el select para traer los datos del user, uso el email, y ese dato va protegido, luego verifico si la CLAVE es correcta, pero el parámetro de la CLAVE, no lo pude proteger para verificar.

Por qué no verifico ambos a la vez en el login? Porque la idea es bloquear el ID del usuario cuyo mail esté siendo utilizado con reiterados fallos en la clave, y para obener el ID es necesario que el mail sea esté registrado y a partir de ahi generar las verificaciones...

Podría validar ambos, a la vez, pero ya no sabría qué bloquear, pues, si falla la dir de email, puede que solo no esté registrada o fallos de escritura, pero cómo bloqueo a un usuario cuyo mail no existe?

Cómo puedo blindar el parámetro de CLAVE siguiendo esta estructura, ya que meter mysql_real_escape_string no es una opcion válida en PDO? O tendría que hacer un Select primero para ver si el mail está registrado, y luego otro Select para verificar si tanto el email como el password coinciden? Aunque me parece redundante.

Por favor ayúdenme.

pateketrueke · #2 (**permalink**) 30/09/2014, 15:09

Cita:

Podría validar ambos, a la vez, pero ya no sabría qué bloquear, pues, si falla la dir de email, puede que solo no esté registrada o fallos de escritura, pero cómo bloqueo a un usuario cuyo mail no existe?

No puedes, es simple: no existe y por lo tanto no hace falta validar nada extra.

Cita:

Cómo puedo blindar el parámetro de CLAVE siguiendo esta estructura, ya que meter mysql_real_escape_string no es una opcion válida en PDO?

PDO provee sus propios mecanismos, que es cuando usas bindParam(), consulta el manual.

loncho_rojas · #3 (**permalink**) 30/09/2014, 15:17

Pero tú eres [email protected] y estás registrado, si no existes, no me interesas.. pero si existes, quiero saber si es que metiste mal tu clave reiteradas veces.. si lo hago asi no voy a saber que usuario bloquear:

Código PHP:

Ver original$result = $conn->prepare("SELECT * FROM users WHERE username= :hjhjhjh AND password= :asas");
$result->bindParam(':hjhjhjh', $user);
$result->bindParam(':asas', $password);
$result->execute();

por la simple razón que me dará FALSE si el user o el password no son correctos.. sin embargo, si primero verifico el mail, puedo saber si existe o no, y luego veo si anda metiendo mal su CLAVE... ese es mi problema.. veré si bindParam() lo puedo usar posterior... pero de por sí ya no puedo, ya que la consulta SQL fue hecha, entonces me quedo con la interrogante de cómo bloqueo al user por X tiempo... se me ocurre hacer doble select.. uno para ver si existe el mail, y otro para ver si el mail y la clave son correctos, pero me parece redundante, pero solo así podré banear a un user por su ID por intentos fallidos de clave por 24 o 70 horas.

pateketrueke · #4 (**permalink**) 30/09/2014, 15:34

Pues yo pienso que tu estrategia original es correcta, jamás he dicho lo contrario.

Probablemente no puedas usar la consulta anterior, pero, ¿qué problema hay en crear otra consulta?

No entiendo el inconveniente.

loncho_rojas · #5 (**permalink**) 30/09/2014, 15:43

Claro que es válido, sólo que me pareció una manera no muy eficaz.

Si por ejemplo usaba la librería MYSQL de PHP bastaba con poner a los dos parámetros, por ejemplo nada mas, el mysql_real_escape_string() y los usaba libre en cualquier parte... al pasar a PDO me quedé limitado, o tal vez hay una manera de banear al user, quizá utilizando PDO pero con POO sea más factible de manejar, pero por tiempos y demás creo que tendré que utilizar esta estrategia, ya que todo el código me vino incrustado en la página y en PHP 5 pero con librerías MYSQL, mi tarea es pasarlo a PDO literalmente..