APORTE: Sistema de registro y reconocimiento de usuario ( aporte )

pato12 · #1 (**permalink**) 28/02/2008, 08:03

Hola,
Aqui voy a dar 2 sistema de reconocimiento de usuarios faciles y utiles.
El primero es sin BD, es con archivos y sessiones.
Deves crear una carpeta llamada: usuarios
index.php

Código PHP:

  <?  
session_start(); // recuerda de ponerlo siempre al prinsipio de cada pagina 
if(!isset($_SESSION['login'])){  
echo "No estas logeado.<a href='entra.html'>Clic qui para logearse</a> o <a href='rg.html'>para registrase</a>"; 
} else {  
echo "Hola ".$_SESSION['login'];  
echo "<br><a href='salir.php'>Salir</a>"; 
}  
?>

entra.html

Código HTML:

<form action="entrar.php" method="post" name="form1">
  <p><strong>  Nick:<br>
    <input name="usNick" type="text" id="usNick">
    <br>
    Clave:<br>
    <input name="usCon" type="text" id="usCon">
    </strong></p>
  <p>
    <input type="submit" name="Submit" value="Entrar">
</p>
</form>

entrar.php

Código PHP:

  <? 
if(file_exists("usuarios/$usNick.php")) { //comprobamos si el usuario existe 
include ("usuarios/$usNick.php");// incluimos los datos 
if($usCon == $clave){ //comprobamos las contraseñas 
$key2 = "si";// si todo esta bien ponemos $key2 en si 
} 
else 
{ 
$key2 = "no";// iseino en no 
} 
}else{ 
echo "El nick no existe enla BD";// desimos que el usuario no existe si no existe 
$key2 = "noo";// ponemos key2 en noo 
exit();// paramos la pagina 
} 
if($key2 == "si"){ // si key2 es igual a si lo autentificamos al usuario 
session_start(); // empezamos la session 
$_SESSION["login"]=$usNick; // le damos nombre 
$_SESSION["Con"]=$usCon; // le damos nombre 
header("location: index.php"); // lo llebamos al inicio 
} 
if($key2 == "no"){ // si key2 es igual a no 
echo "La contraseña esta mal.";// desimos que la contraseña esta mal 
exit(); 
} 
?>

reg.php

Código PHP:

  <? 
  if(file_exists("usuarios/$usNick.php")) { // comprobamos el usuario 
  echo "El usuario ya existe en la BD"; // si ya esiste lo desimos 
  }else{ // si no  
  $IP = $REMOTE_ADDR; //removemos el ip del usuario 
  $cnfecha = strftime("%d-%m-%y", time()); //la fecha 
 
  $add = "usuarios/$usNick.php"; // creamos el usuario 
  $saa = fopen($add, "a+");  
  $sss = "<? 
            \$clave = '$con'; 
            \$email = '$em'; 
            \$ip = '$IP'; 
            \$pais = '$pai'; 
            \$fecha = '$cnfecha'; 
            ?>";  
  $grabar = fwrite($saa, $sss); // lo grabamos 
  fclose($saa); 
  echo "El usuario a sido creado correctamente.";  
  } 
?>

rg.html

Código HTML:

<form name="form1" method="post" action="reg.php">
  Nombre:
  <br><input name="usNick" type="text" id="usNick">
  <br>
  Clave:<br>
  <input name="con" type="text" id="con">
  <br>
Pais:  <br>
<input name="pai" type="text" id="pai">
<br>
Email:<br>
<input name="em" type="text" id="em">
<br>
<label>
<input type="submit" name="Submit" value="Registrar">
</label>
</form>

salir.php

Código PHP:

  <?  
session_start();  
if(!isset($_SESSION['login'])){  
header("location: entra.html");  
} else {  
session_unset();  
session_destroy();  
header("location: index.php");  
}  
?>

.
---------------------------------
El segundo esta en el sigueite post. ---->>>

pato12 · #2 (**permalink**) 28/02/2008, 08:04

Este es el sistema de reconocimiento de usuario con BD:
install.php

Código PHP:

   // Configura los datos de tu cuenta 
$dbhost='localhost'; 
$dbusername='username'; 
$dbuserpass='password'; 
$dbname='database'; 
// Conexión a la base de datos 
mysql_connect ($dbhost, $dbusername, $dbuserpass); 
// Seleccion de la base de datos 
mysql_select_db($dbname) or die('Cannot select database'); 
 
// Creacion de la tabla (puedes elegir otros nombres para los campos) 
$query = 'CREATE TABLE users( 
id INT NOT NULL AUTO_INCREMENT, 
PRIMARY KEY(id), 
username VARCHAR(30) NOT NULL, 
password VARCHAR(20) NOT NULL, 
email VARCHAR(40) NOT NULL)'; 
$result = mysql_query($query); 
echo "!Tabla creada!";

reg.php

Código PHP:

  // Configura los datos de tu cuenta 
$dbhost='localhost'; 
$dbusername='username'; 
$dbuserpass='password'; 
$dbname='database'; 
// Conexión a la base de datos 
mysql_connect ($dbhost, $dbusername, $dbuserpass); 
mysql_select_db($dbname) or die("Cannot select database"); 
 
// Preguntaremos si se han enviado ya las variables necesarias 
if (isset($_POST["username"])) { 
$username = $_POST["username"]; 
$password = $_POST["password"]; 
$cpassword = $_POST["cpassword"]; 
$email = $_POST["email"]; 
// Hay campos en blanco 
if($username==NULL|$password==NULL|$cpassword==NULL|$email==NULL) { 
echo "un campo está vacio."; 
}else{ 
// ¿Coinciden las contraseñas? 
if($password!=$cpassword) { 
echo "Las contraseñas no coinciden"; 
}else{ 
// Comprobamos si el nombre de usuario o la cuenta de correo ya existían 
$checkuser = mysql_query("SELECT username FROM users WHERE username='$username'"); 
$username_exist = mysql_num_rows($checkuser); 
 
$checkemail = mysql_query("SELECT email FROM users WHERE email='$email'"); 
$email_exist = mysql_num_rows($checkemail); 
 
if ($email_exist>0|$username_exist>0) { 
echo "EL nombre de usuario o la cuenta de correo estan ya en uso"; 
}else{ 
//Todo parece correcto procedemos con la inserccion 
$query = "INSERT INTO users (username, password, email) VALUES('$username','$password','$email')"; 
mysql_query($query) or die(mysql_error()); 
echo "El usuario $username ha sido registrado de manera satisfactoria."; 
} 
} 
} 
}

reg.html

Código HTML:

<form name="form1" method="post" action="reg.php">
  <TABLE>
    <TBODY>
      <TR>
        <TD align="right">Nombre de usuario:
          <INPUT maxLength="25" size="15" name="username">
        </TD>
      </TR>
      <TR>
        <TD align="right">Password:
          <INPUT type="password" maxLength="25" size="15" value="" name="password">
        </TD>
      </TR>
      <TR>
        <TD align="right">Repite Password:
          <INPUT type="password" maxLength="25" size="15" value="" name="cpassword">
        </TD>
      </TR>
      <TR>
        <TD align="right">Email:
          <INPUT maxLength="25" size="15" name="email">
        </TD>
      </TR>
      <TR>
        <TD align="middle"><INPUT name="submit" type="submit" value="Registro">
        </TD>
      </TR>
    </TBODY>
  </TABLE>
</form>

entrar.php

Código PHP:

  // Configura los datos de tu cuenta 
$dbhost='localhost'; 
$dbusername='username'; 
$dbuserpass='password'; 
$dbname='database'; 
 
session_start(); 
 
// Conectar a la base de datos 
mysql_connect ($dbhost, $dbusername, $dbuserpass); 
mysql_select_db($dbname) or die('Cannot select database'); 
 
if ($_POST['username']) { 
//Comprobacion del envio del nombre de usuario y password 
$username=$_POST['username']; 
$password=$_POST['password']; 
if ($password==NULL) { 
echo "La password no fue enviada"; 
}else{ 
$query = mysql_query("SELECT username,password FROM users WHERE username = '$username'") or die(mysql_error()); 
$data = mysql_fetch_array($query); 
if($data['password'] != $password) { 
echo "Login incorrecto"; 
}else{ 
$query = mysql_query("SELECT username,password FROM users WHERE username = '$username'") or die(mysql_error()); 
$row = mysql_fetch_array($query); 
$_SESSION["s_username"] = $row['username']; 
echo "Has sido logueado correctamente ".$_SESSION['s_username']." y puedes acceder al index.php."; 
} 
} 
}

entra.html

Código HTML:

<form name="form1" method="post" action="entrar.php">
  <table cellspacing="0" cellpadding="0">
    <TR>
      <TD align="right">Nombre de usuario:
        <INPUT maxLength="25" size="15" name="username">
      </TD>
    </TR>
    <TR>
      <TD align="right">Password:
        <INPUT type="password" maxLength="25" size="15" value="" name="password">
      </TD>
    </TR>
    <TR>
      <TD align="middle"><INPUT name="submit" type="submit" value="Login">
      </TD>
    </TR>
  </table>
</form>

index.php

Código PHP:

  // Configura la información de tu cuenta 
$dbhost='localhost'; 
$dbusername='username'; 
$dbuserpass='password'; 
$dbname='database'; 
session_start(); 
 
// Conexión a la base de datos 
mysql_connect ($dbhost, $dbusername, $dbuserpass); 
mysql_select_db($dbname) or die('Cannot select database'); 
 
 
if (isset($_SESSION['s_username'])) { 
echo "Bienvenido a mi sitio has ingresado como ".$_SESSION['s_username'].", gracias por la visita!"; 
}else{ 
echo "Tu no estas autentificado dirígete a login.php o registrate en register.php"; 
echo $_SESSION['s_username']; 
}

salir.php

Código PHP:

  <?   
session_start();   
if(!isset($_SESSION['s_username'])){   
header("location: entra.html");   
} else {   
session_unset();   
session_destroy();   
header("location: index.php");   
}   
?>

Espero que les allan serbido,
Salu2

PD: Recomiendo leer http://www.forosdelweb.com/f18/aport...suario-725268/ para entender xD

#3 (**permalink**) 28/02/2008, 09:48

Gran aporte pato12, gracias por compartirlo

Saludos!

GatorV · #4 (**permalink**) 28/02/2008, 09:57

Gracias por tu aporte pato12.

Saludos.

Carlojas · #5 (**permalink**) 28/02/2008, 10:15

Buen aporte pato12

Saludos.

drbit · #6 (**permalink**) 28/02/2008, 10:36

Pato, te recomiendo que lo asegures un poco tiene muchos puntos flojos en seguridad. A grandes razgos:

Código:

<?
if(file_exists("usuarios/$usNick.php")) { //comprobamos si el usuario existe
include ("usuarios/$usNick.php");// incluimos los datos
if($usCon == $clave){ //comprobamos las contraseñas
$key2 = "si";// si todo esta bien ponemos $key2 en si
}

Que pasa si el usuario te manda como nombre de usuario algo como ../../../etc/passwd ????

Creo que deberías limpiar la entrada.

Comparar strings con == tampoco es recomendable, es mejor usar strcmp.

En el segundo sistema, tampoco haces ninguna limpieza de las variables antes de armar la query. Usa mysql_real_escape para limpiar las variables.

Saludos.

ferbux · #7 (**permalink**) 28/02/2008, 10:51

Buen aporte pato12, es facil de comprender y utilizar.

salu2

pato12 · #8 (**permalink**) 28/02/2008, 10:52

Gracias a todos.
Y grcias drbit,
porque tengo paginas con esos 2 codigos.
Salu2

drbit · #9 (**permalink**) 28/02/2008, 11:08

ufff arreglalo cuanto antes que así estás más inseguro que chalet de Pilar en Fuerte Apache :D

NUCKLEAR · #10 (**permalink**) 05/03/2008, 19:22

Se agradece el aporte...
drbit deberias presentar tu aporte a mejorar la seguridad de este script tambien asi los usuarios noveles lo pueden usar sin problemas.
Saludos

GastoNike · #11 (**permalink**) 06/04/2008, 13:52

Cita:

Iniciado por drbit

Pato, te recomiendo que lo asegures un poco tiene muchos puntos flojos en seguridad. A grandes razgos:

Código:

<?
if(file_exists("usuarios/$usNick.php")) { //comprobamos si el usuario existe
include ("usuarios/$usNick.php");// incluimos los datos
if($usCon == $clave){ //comprobamos las contraseñas
$key2 = "si";// si todo esta bien ponemos $key2 en si
}

Que pasa si el usuario te manda como nombre de usuario algo como ../../../etc/passwd ????

Creo que deberías limpiar la entrada.

Comparar strings con == tampoco es recomendable, es mejor usar strcmp.

En el segundo sistema, tampoco haces ninguna limpieza de las variables antes de armar la query. Usa mysql_real_escape para limpiar las variables.

Saludos.

Claro, pero igual tienes que fijarte que solo es una muestra para que veas como es que funciona y ya de ahi implemetarlo a tu gusto con sus respectivos parches de seguridad...

Saludos.

ngonzalez · #12 (**permalink**) 16/04/2008, 09:40

gracias por la respuesta

nicolaspar · #13 (**permalink**) 16/04/2008, 09:49

Cita:

Iniciado por GastoNike

Claro, pero igual tienes que fijarte que solo es una muestra para que veas como es que funciona y ya de ahi implemetarlo a tu gusto con sus respectivos parches de seguridad...

Saludos.

Cita:

Iniciado por drbit

Pato, te recomiendo que lo asegures un poco tiene muchos puntos flojos en seguridad. A grandes razgos:

Código:

<?
if(file_exists("usuarios/$usNick.php")) { //comprobamos si el usuario existe
include ("usuarios/$usNick.php");// incluimos los datos
if($usCon == $clave){ //comprobamos las contraseñas
$key2 = "si";// si todo esta bien ponemos $key2 en si
}

Que pasa si el usuario te manda como nombre de usuario algo como ../../../etc/passwd ????

Creo que deberías limpiar la entrada.

Comparar strings con == tampoco es recomendable, es mejor usar strcmp.

En el segundo sistema, tampoco haces ninguna limpieza de las variables antes de armar la query. Usa mysql_real_escape para limpiar las variables.

Saludos.

Claro, no es muy solido, pero no aplica tu ejemplo tampoco, ya que estaría realmente buscando el archivo "file_exists("usuarios/../../../etc/passwd.php". En si todo file será php de manera obligatoria, y por ende el mismo será procesado por el servidor, no dará lo que tenga en pantalla sino su resultado.

Sin haberlo mirado en detalle gracias pato12, a muchos les será útil!.

Pax-Man · #14 (**permalink**) 18/04/2008, 21:35

Pero como podria yo verificar en otras paginas que el usuario esta autentificado, y si no, que me mande al entrar.html?

pato12 · #15 (**permalink**) 20/04/2008, 18:33

Hola Pax-Man,
Es simple:
Al principio de cada pagina pribada pone este codigo:

Código PHP:

  <?    
session_start();    
if(!isset($_SESSION['s_username']))header("location: entrar.html");     
?>

Suerte
PD: Gracias a todos por sus comentarios.
Salu2

alvaaz · #16 (**permalink**) 20/04/2008, 20:20

Muy buen aporte

alvaaz · #17 (**permalink**) 20/04/2008, 20:23

Disculpa mi ignorancia pero al abrir index.php http://www.alvaaz.260mb.com/usuariosbd/index.php

// Configura la información de tu cuenta $dbhost='localhost'; $dbusername='username'; $dbuserpass='password'; $dbname='database'; session_start(); // Conexión a la base de datos mysql_connect ($dbhost, $dbusername, $dbuserpass); mysql_select_db($dbname) or die('Cannot select database'); if (isset($_SESSION['s_username'])) { echo "Bienvenido a mi sitio has ingresado como ".$_SESSION['s_username'].", gracias por la visita!"; }else{ echo "Tu no estas autentificado dirígete a login.php o registrate en register.php"; echo $_SESSION['s_username']; }

http://www.alvaaz.260mb.com/usuariosbd/reg.php

// Configura los datos de tu cuenta $dbhost='localhost'; $dbusername='username'; $dbuserpass='password'; $dbname='database'; // ConexiÃ³n a la base de datos mysql_connect ($dbhost, $dbusername, $dbuserpass); mysql_select_db($dbname) or die("Cannot select database"); // Preguntaremos si se han enviado ya las variables necesarias if (isset($_POST["username"])) { $username = $_POST["username"]; $password = $_POST["password"]; $cpassword = $_POST["cpassword"]; $email = $_POST["email"]; // Hay campos en blanco if($username==NULL|$password==NULL|$cpassword==NUL L|$email==NULL) { echo "un campo estÃ¡ vacio."; }else{ // Â¿Coinciden las contraseÃ±as? if($password!=$cpassword) { echo "Las contraseÃ±as no coinciden"; }else{ // Comprobamos si el nombre de usuario o la cuenta de correo ya existÃ*an $checkuser = mysql_query("SELECT username FROM users WHERE username='$username'"); $username_exist = mysql_num_rows($checkuser); $checkemail = mysql_query("SELECT email FROM users WHERE email='$email'"); $email_exist = mysql_num_rows($checkemail); if ($email_exist>0|$username_exist>0) { echo "EL nombre de usuario o la cuenta de correo estan ya en uso"; }else{ //Todo parece correcto procedemos con la inserccion $query = "INSERT INTO users (username, password, email) VALUES('$username','$password','$email')"; mysql_query($query) or die(mysql_error()); echo "El usuario $username ha sido registrado de manera satisfactoria."; } } } }

por favor ayudenme

usermax · #18 (**permalink**) 20/04/2008, 20:31

excelente aporte!!

Pax-Man · #19 (**permalink**) 24/04/2008, 19:37

Amigo una pregunta, suponog que este sistema trabajo usando cookie, que variables guarda en ella y como...

cala932 · #20 (**permalink**) 24/04/2008, 19:50

Que buen aporte, seria bueno que lo anexen a la parte de las FAQ´s . Felicitaciones pato12

Salu2.

chalchis · #21 (**permalink**) 24/04/2008, 23:53

tips de seguridad amigos

http://www.nativos2020.com/2008/02/2...-forma-segura/

http://conexionesrazonables.blogspot...d-con-php.html

saludos

kaninox · #22 (**permalink**) 25/04/2008, 02:34

que buen aporte

para las contraseñas no has pensado en utilizarlas encriptadas???
sha1 por ejemplo... es solo una sugerencia ;), bueno ya saldran los que te digan que tiene varios bugs como ingreso de caracteres especiales y demas pero esta muy bien....

te felicito...

pato12 · #23 (**permalink**) 25/04/2008, 19:16

Vengo a responder todas sus dudas:
alvaaz
Tu codigo esta entre <?php y ?>
ejemplo:
<?php
// Codigo
?>
Pax-Man
El sistema trabaja usando sessiones, es paresido al cookies pero este se corta cuando se cierra la web, cuando las destrulles( al salir ) o se acaba el tiempo.
Cala932
Muchas gracias
chalchis
Gracias por los consejos de seguridad.
kaninox
Gracias, Si pense en encriptarla a la clave en md5.
---------
Gracias a todos por sus comentarios.
Salu2

Pax-Man · #24 (**permalink**) 25/04/2008, 21:24

bueno entonces tengo 2, pregutnas... donde defines el tiempo de sesion en este script, y la cosa es que me gustaria hacer este tipo de sesion para que trabaje con grupos, ya tengo las tablas modificadas, asi como el sistema de registro, y todo... no se donde meter la variable "grupo", estaba pensando en una cookie por lo que he leido en manuales de php, la cosa no se ve tan complicada, pero nose si esta variable tambien pueda ser integrada al la funcion sesion, y si es posible como se haria... y donde controlaria el tiempo de vida de la session

hooh125 · #25 (**permalink**) 26/04/2008, 03:59

Pato12 me encanta ese sistema de usuarios pero tengo ciertas dudas... lo he instalado en mi portal pero necesito un codigo que bloquee solo un contenido y no una web entera para los usuarios que no estan logueados... existe alguna manera?

salu2 y gracias

Pax-Man · #26 (**permalink**) 26/04/2008, 10:03

Cita:

Iniciado por hooh125

Pato12 me encanta ese sistema de usuarios pero tengo ciertas dudas... lo he instalado en mi portal pero necesito un codigo que bloquee solo un contenido y no una web entera para los usuarios que no estan logueados... existe alguna manera?

salu2 y gracias

Te respondo lo que me respondio pato12 a mi...

solo debes colocar este codigo en el comienzo (linea 1) de la pagina que deseas bloquear...

Código PHP:

  <?    
session_start();    
if(!isset($_SESSION['s_username']))header("location: entrar.html");     
?>

Esto es lo que hara que el contenido sea verificado solo para usuarios registrados...

pato12 · #27 (**permalink**) 26/04/2008, 10:12

Cita:

Iniciado por Pax-Man

bueno entonces tengo 2, pregutnas... donde defines el tiempo de sesion en este script, y la cosa es que me gustaria hacer este tipo de sesion para que trabaje con grupos, ya tengo las tablas modificadas, asi como el sistema de registro, y todo... no se donde meter la variable "grupo", estaba pensando en una cookie por lo que he leido en manuales de php, la cosa no se ve tan complicada, pero nose si esta variable tambien pueda ser integrada al la funcion sesion, y si es posible como se haria... y donde controlaria el tiempo de vida de la session

Hola Pax-Man,
Se define el tiempo de la session en la configuracion de tu php, es decir el archivo php.ini
La segunda pregunta no la entendi bien.
Suerte
Salu2

hooh125 · #28 (**permalink**) 26/04/2008, 14:48

Aver, no quiero bloquear toda la pagina, solo quiero bloquear un contenido que hay en ella.... ese codigo parece solo valer para TODA la pagina y yo no quiero eso....
vuelvo a preguntar, existe algun codigo para restringir solo algun contenido de la pagina ?'

Salu2 y gracias por las respuestas

Pax-Man · #29 (**permalink**) 28/04/2008, 18:37

Mas sencillo

<?
session_start(); // recuerda de ponerlo siempre al prinsipio de cada pagina
if(isset($_SESSION['login'])){
echo "Como estas logueado puedes ver esto"// Todo el codigo que quiero que se vea si esta logueado
} else {
echo ""; / Como no estas logueado no vez nada...
}
?>

Esto es una soluicion rapida

chalchis · #30 (**permalink**) 30/04/2008, 09:30

queria aprovechar este tema para decirles que hice mi tabla de usuarios login[varchar] y pass[varchar] y en la columna de pass habilite el binay, que logré con estó que al hacer la comparación que se introdujo desde el form se vuelve sensible ha mayusculas y minusculas.

osea que si el pass está en minusculas en mysql y el pass que se envia desde el form esta en mayusculas manda que no son iguales.

saludos
espero sus comentarios