Aprendiendo, sistema de usuarios

guallox · #1 (**permalink**) 19/12/2009, 18:04

HOla amigos del PHP...

Estoy haciendo un sistema de usuarios bastante inseguro, pero me sirve para ir practicando php, que para mi es algo nuevo.

El codigo que tengo es éste:

Código PHP:

  <?php 
 
//Conectamos a mysql y seleccionamos la bd 
require('config.php');  
 
//Almacenamos la información proporcionada por el usuario en variables 
$user = $_POST['usrlgn']; 
$pass = $_POST['psslgn']; 
 
//Creamos la consulta 
$query = "SELECT * FROM forito";   
 
//Ejecutamos la consulta 
$result = mysql_query($query) or die (mysql_error());    
 
//La guardamos en un array asociativo 
while ($array = mysql_fetch_array($result))   
{   
 
//Sacamos los datos del array asociativo y los asignamos a variables normales 
$usermysql = $array['userid'];   
$passmysql = $array['pass'];   
 
/*Dentro del while, ejecutamos condicionales para comparar la informacion 
proporcionada por el usuario con la existente en la BD.*/ 
 
if($usermysql == $user && $passmysql == $pass) { 
 
echo 'Tu informacion es correcta'; 
 
}else { 
 
echo 'Tu combinación user/pass es incorrecta'; 
 
} 
 
}; 
 
?>

Con este código todo va bien, pero sólo cuando hay solo 1 registro en mysql. Cuando hay más de uno, no funciona.

Qué puede ser? Me ayudan?

Gracias de antemano.

bioxido · #2 (**permalink**) 19/12/2009, 18:14

La verdad que ademas de inseguro es caro, para el servidor XD

Mira, para los sistema de usuario se suele hacer una consulta de este tipo:

Código PHP:

  $query = mysql_query("SELECT password FROM `usuarios` WHERE username = '$user' ");

entonces, despues envezde hacer un while... haces un if:

Código PHP:

  $datos = mysql_fetch_assoc($query); //Aclaro que mysql_fetch_assoc es mas barato que mysql_fetch_array y es practicamente lo mismo.

if($pass = $datos['password']){
echo 'Logeo correcto';
}

Ahora bien, respecto a la seguridad... la password, debe estar encodeada en md5() para proteger los datos de los usuarios, por ejemplo cuando un usuario se registra antes de insertar la pass en la DB, haces

Código PHP:

  $password = md5($password);
//Despues aca haces el INSERT a la DB con la pass ya encodeada en MD5

cuando vallas a comprobar que los datos son correctos, osea, cuando se logea... tambien tnes que encodear en md5 la pass que recivis por $_POST.

Otro temita, te recomiendo usar htmlentities(); en el nombre de usuario, de la misma forma que hacemos con la pass al momento de registrar y tambien al de logear para evitar una SQL injection.

Suerte.

guallox · #3 (**permalink**) 19/12/2009, 18:27

ermm...muchas gracias amigo, pero he probado tu código, este no funciona bien.

el problema es que da igual la pass que pongas, siempre te dará logeo correcto. qué hago para solucionar esto?

zaetoner · #4 (**permalink**) 19/12/2009, 18:36

en realidad eso tambien tiene un muy pequeño rango de inseguridad lo mejor es siempre usar:

Código PHP:

Ver original$usuario=$_POST['usuario'];
$password=$_POST['password'];
 
$c=mysql_query("SELECT id FROM usuarios WHERE usuario='$usuario' and password='$password'");
$a=mysql_num_rows($c);
 
if($a>0){
echo "los datos son correctos";
}elseif($a==0){
echo "no coinsiden el nick con el password";
}

y ademas le evitas cargas a tu servidor de este modo

bioxido · #5 (**permalink**) 19/12/2009, 18:36

Código PHP:

  if($pass == $datos['password']){
echo 'Logeo correcto';
}

modifica eso, me falto un =

guallox · #6 (**permalink**) 19/12/2009, 18:48

zaetoner, muchas gracias, pero prefiero el código de bioxido.

bioxido, muchas gracias, despues de un par de modificaciones en tu código funciona perfectamente.

bioxido · #7 (**permalink**) 19/12/2009, 19:33

:P en realidad el "rango de inseguridad" que nombra zaetoner se puede evitar siempre y cuando depures el codigo como yo dije, htmlentities al username y md5 a la pass.

guallox · #8 (**permalink**) 19/12/2009, 19:46

lo de md5 ya lo tengo implementado, pero....cómo aplico lo de htmlentities?

olvídenlo, pensé que htmlentities era algo como md5, pero me he dado cuenta que solo transforma los carácteres especiales...

gracias.

moderador, puede usted cerrar este tema. (si quiere)

bioxido · #9 (**permalink**) 19/12/2009, 19:57

de la misma forma que md5.

$username = htmlentities($username);

lo que hace htmlentities es por ejemplo los caracteres como ñ,áéíóú y caracteres raro lo cambia por su equivalente en html (&noacute; á ) la verdad que no me acuerdo los equivalentes en html pero es algo asi xD

Usando eso te evitas una inyeccion sql, hay formas diferentes para evitar esto como real_scape_string o algo asi...

pato12 · #10 (**permalink**) 20/12/2009, 00:38

Cita:

Iniciado por zaetoner

en realidad eso tambien tiene un muy pequeño rango de inseguridad lo mejor es siempre usar:

Código PHP:

Ver original$usuario=$_POST['usuario'];
$password=$_POST['password'];
 
$c=mysql_query("SELECT id FROM usuarios WHERE usuario='$usuario' and password='$password'");
$a=mysql_num_rows($c);
 
if($a>0){
echo "los datos son correctos";
}elseif($a==0){
echo "no coinsiden el nick con el password";
}

y ademas le evitas cargas a tu servidor de este modo

De ese modo, creo que no es sensible a las minusculas y mayusculas :p
Es mejor seleccionar el usuario, y comprobar despues con un if como hace bioxido.