¿acceder a zona de administrador ?

Buenas , tengo una pagina en concreto que se accede logeándose como admin (donde se ven los nuevos pedidos), y yo quería que en el mail q se le envía al administrador a su correo indicándole la REF del pedido nuevo y un enlalce para acceder a el pudiera acceder a esta página en concreto (donde vería el nuevo pedido) ¿cual es la forma más segura?. yo había pensado algo tipo
$_GET
Tiene usted nuevo pedido
Ref: 03934

http://www.miweb.com/zonaadmin/pedidos.php?admin=pepito&pass=32242332&ref=343434

¿Es eso seguro? ¿podría hacerlo mejor mediante post insertando en el mensaje del correo un formulario?.

-Acepto y agradezco todo tipo de sugerencias
Gracias de antemano

prueba con algun tipo de encriptacion de password.

Usa por ejemplo MD5 para mostrar la contraseña encriptada en la URL. Aqui tienes un ejemplo:

http://www.tufuncion.com/md5-encriptar-passwords


Saludos

Dundee,

Tal y como lo planteas y partiendo de la base de que se asume que el acceso al correo facilitado por el admin es completamente privado, el traspasar la info de la contraseña del mismo para realizar la validacion del usuario facilitando la pass en el link del correo electrónico (encriptada o no) a mi modo de ver es innecesario.

Incluso el traspasar el nombre de usuario en este sentido, seria algo que podriamos ahorrarnos ya que con el nº de REF. tendriamos más que suficiente para identificar el admin asociado al mismo y validarlo.

Saludos

Pero haber , si claro que sería necesario pero .. haber como me explico ya que quizás no me haya explicado bien..
Yo quiero acceder desde MI MAIL al espacio destinado para el administrador de mi web (o sea YO) ,se como hacerlo mediante $_get['vars'] pero estoy harto de oir que es inseguro por eso pregunto ¿como puedeo hacerlo?, necesito algo que cuando llegue a la página por ejem admin.php me identifique con permisos para verla ¿ahora esta algo más claro?. Lo del Md5 voy a estudiarlo ya que no se como va pero lo de que necesito solo el Ref no lo entiendo ya que cualquiera puede ver el ref ,copiarlo y usarlo para posteriores entradas en mi web como admin .
Saludos y feliz año

Hola de nuevo Dundee, ahora lo tengo algo mas claro.

Por lo que entiendo, el sistema de usuarios que tienes montado funciona mediante sesiones y no por cookies. Por lo que quizas, la propuesta de pr0 sea la más adecuada para efectuar la validacion del usuario.

Por el uso de MD5, es bastante sencillo de utilizar. Lo único que has de contemplar es el hecho de que la contraseña guardada en la bbdd ha de estar encriptada también con MD5, con el fin de poder efectuar la comparación ya sea directamente (O sea, mediante el enlace del correo electronico) o bien en la validacion de cualquiera de los usuarios administradores.

Un ejemplo:

En la entrada del fichero admin, sea cual sea la funcion a cargar, tan solo has de hacer una llamada a la validacion del usuario para que confirme que los datos facilitados por la URL del correo con el NOMBRE y PASS (encriptado con MD5) coinciden para poder mostrar la REF.

Espero que te haya podido ayudar

Saludos

Nada de esto esta bien :)

1: Brute force del URL
2: Brute force del MD5 hash
3: Sniffing

Para evitar cosas desagradables como estas tienes que hacer que la seguridad sea lo mas segura posible.

1: Contraseña y MD5
Para que no tengas problemas con las contraseñas exige a tus usuarios que la contraseña sea de 6 signos como minimo luego tienes que estar seguro de que has encriptado bien la contraseña solo md5 no es lo suficiente fuerte por que si el usuario usa una contraseña como 123456 se discubrira muy facil. Puedes utilizar algo parcido:

o crear tu propio algoritmo

2:
Pasar los datos por Security Shell (SSH) para evitar el sniffing.

3:
Mejor utiliza el method POST

4:
Cuento los intentos de acceder el la referencia para evitar el brute force.
Por ejemplo despues de cada 5 intento el usuario debera esperar 10 minutos para intentar lo de nuevo.

Saludos bulter