Tema: Seguridad Programa en php
Ver Mensaje Individual
  #1 (permalink)  
Antiguo 05/08/2013, 00:46
kobety
 
Fecha de Ingreso: marzo-2013
Ubicación: Jaén, Andalucía
Mensajes: 129
Antigüedad: 12 años, 7 meses
Puntos: 2
Seguridad Programa en php
Buenas, estoy desarrollando un programa en php y sql , y quisiera subirlo a una web, decir que no todo el mundo tendría acceso, solo unas pocas personas y lo que me tiene más preocupado es la seguridad, ete es el siguiente para el login y eso, si me pudierais decir si tiene algún fallo de seguridad me gustaría saberlo, y si hay también alguna manera de protegerlo un poco más :P Muchas gracias!! Decir que en todas las páginas compruebo si hay una sesión abierta y si se está logueado, si no mando para afuera.

login.html
Código HTML: 
Ver original
  1. <form action="login.php" method="POST">
  2.     <table>
  3.         <tr><td>Usuario:</td><td> <input required type="text" name="user" /><br /></td></tr>
  4.         <tr><td>Contraseña:</td><td> <input required type="password" name="pass" /><br /></td></tr>
  5.     </table>
  6.     <br>
  7.     <input type="submit" style=" font-weight:900;color: white; background-color: #0F37A1; border: 3pt ridge lightgrey" value="Acceder" />
  8.     </form>

login.php
Código PHP: 
Ver original
  1. session_start();
  2. require_once('funciones.php');
  3. conectar('localhost', 'user', 'pass', 'bbdd');
  4. ini_set("default_charset", "utf-8");
  5. $user = strip_tags($_POST['user']);
  6. $pass = strip_tags(sha1($_POST['pass']));
  7.  
  8. $query = mysql_query('SELECT * FROM usuarios WHERE user="'.mysql_real_escape_string($user).'" AND pass="'.mysql_real_escape_string($pass).'"');
  9. if($existe = mysql_fetch_object($query))
  10. {//Si existe el usuario
  11.     $_SESSION['user'] = $user; //Guardamos la variable de sesión
  12.     
  13.     
  14.     
  15.     $consulta = mysql_query('SELECT * FROM usuarios WHERE user="'.mysql_real_escape_string($user).'"');//Cogemos la fecha de la última conexion y el estado de la conexión;
  16.         while($row=mysql_fetch_array($consulta)){   
  17.             $fecha=$row['Sesion'];
  18.             $conectado=$row['Conectado'];
  19.         }
  20.     
  21.     if($conectado==1){ //Si esta como conectado, comprobamos su última conexión
  22.         $datetime1 = date_create($fecha);
  23.         
  24.         $fechaact=date("d-m-Y H:i:s", time());      
  25.         
  26.         $datetime2 = date_create($fechaact);
  27.         
  28.         $interval = date_diff($datetime2, $datetime1);
  29.  
  30.         if(($interval->format('%d%H%i'))>=00010){//Si hace más de 10 minutos que se ha conectado, dejamos al usuario entrar de nuevo
  31.             $uno=1;
  32.             $meter= mysql_query('UPDATE usuarios 
  33.             SET Conectado="'.mysql_real_escape_string($uno).'",
  34.                 Sesion="'.date_format($datetime2, 'Y-m-d H:i:s').'"
  35.             WHERE  usuarios.user = "'.mysql_real_escape_string($user).'"')OR DIE ("fallo");
  36.             
  37.             $_SESSION['logged'] = 'yes';
  38.             
  39.             echo '<script>window.location="logeado.php"</script>';
  40.         }else{
  41.             echo"Este usuario está activo.";
  42.             echo"<br><br><br>
  43.             <a href='login.html'><input type='submit' style=' font-weight:900;color: white; background-color: #0F37A1; border: 3pt ridge lightgrey' value='Volver Al Inicio' onclick='location='login.html''></a>";
  44.  
  45.             exit;   
  46.         }
  47.         
  48.         
  49.     }else{
  50.         $uno=1;
  51.         $fechaact=date("d-m-Y H:i:s", time());
  52.         $datetime2 = date_create($fechaact);
  53.         //var_dump(date_format($datetime2, 'Y-m-d H:i:s'));
  54.                 
  55.             $meter= mysql_query('UPDATE usuarios 
  56.             SET Conectado="'.mysql_real_escape_string($uno).'",
  57.                 Sesion="'.date_format($datetime2, 'Y-m-d H:i:s').'"
  58.             WHERE  usuarios.user = "'.mysql_real_escape_string($user).'"')OR DIE ("fallo");
  59.         
  60.             $_SESSION['logged'] = 'yes';
  61.         
  62.         echo '<script>window.location="logeado.php"</script>';
  63.     }
  64.     
  65. }else{
  66.         echo 'El usuario y/o pass son incorrectos.';
  67.         
  68.         echo"<form action='login.html'>";
  69.         echo"<br><br><br><input type='submit' style=' font-weight:900;color: white; background-color: #0F37A1; border: 3pt ridge lightgrey' value='Volver Al Inicio' onclick='location='login.html''>";
  70.         echo"</form>";
  71. }

PD: para que conste, el css es que estoy en ello, pero para que tenga un poquito de formato le he puesto color a los inputs :P y perdón por el chorro