ayuda a hacer mas seguro mi login

ylellan · #1 (**permalink**) 10/11/2010, 20:08

HOla amores, disculpen comunmente mi login sirve de maravilla (bueno a mi parecer), pero me tope que me dicen que es muy sencillo he inseguro, quiero hacerlo un poco mas seguro porque me dijeron le falta algunas cosas de seguridad, espero me puedan auxiliar en esto:

index.php

Código HTML:

Ver original<?php
session_start();
?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1" />
<title>Documento sin t&iacute;tulo</title>
<style>
.msj
{
    font:Arial, Helvetica, sans-serif;
    color:red;
    font-weight:bold;
    background:#FFFF00;
}
</style>
</head>
 
<body>
<form action="procesar_pas.php" method="post">
<?php if(isset($_GET['mensaje'])){ echo '<div class="msj">'.$_GET['mensaje'].'</div>'; } ?>
<table width="304" border="1" align="center">
<?php
if(isset($_GET['pai'])){?><tr><td colspan="3"><span style="font-size:12px; color:red;"><?php echo $_GET['pai'];?></span></td></tr><?php } ?>
  <tr>
    <td width="98">NOMBRE:</td>
    <td width="190"><input name="nombre" type="text" id="nombre" value="<?php if(isset($_GET['usuario'])){echo $_GET['usuario'];}if(!empty($_SESSION['usuario'])){echo $_SESSION['usuario'];}?>" /><?php echo '<span style=" color:red;">'.$_GET['user'].'</span>'?></td>
  </tr>
  <tr>
    <td>PASSOWORD</td>
    <td><input name="pass" type="password" id="pass" value="<?php if(isset($_GET['password'])){ echo $_GET['password'];}?>"/><?php echo '<span style=" color:red;">'.$_GET['pas'].'</span>'?></td>
  </tr>
  <tr>
    <td>
      <input name="enviar" type="submit" id="enviar" value="ENTRAR" />    </td>
    <td><input name="cancel" type="reset" id="cancel" value="CANCELAR" /></td>
  </tr>
</table>
</form>
</body>
</html>

procesar_pas.php

Código PHP:

  <?php 
session_start(); 
include "conexion.php"; 
if(isset($_POST['enviar'])){ 
if(!empty($_POST['nombre']) && !empty($_POST['pass'])){ 
    $nombre=$_POST['nombre']; 
    $pass=md5($_POST['pass']); 
    conectar(); 
    $b=mysql_query("select *from usuarios where usuario='$nombre'") or die ("error".mysql_error()); 
    $existe=mysql_num_rows($b); 
    $c=mysql_fetch_array($b); 
    desconectar(); 
    if($existe>0){ 
    $_SESSION['usuario']=$nombre; 
    if($pass==$c['password'] && !empty($pass)){ 
    $_SESSION['admitio']="si"; 
    header("location:frame.php"); 
    exit(); 
    }else{ 
    header("location:index.php?pai=EL PASSWORD ESTA MAL"); 
    exit(); 
    } 
    } 
    else{ 
    header("location:index.php?pai=NO EXISTE USUARIO"); 
    exit(); 
    } 
} 
else{ 
//si no hay valores en los inputs 
if(empty($_POST['nombre'])){ 
$user="*FALTA NOMBRE"; 
} 
if(empty($_POST['pass'])){ 
$pas="*FALTA PASSWORD"; 
} 
header("location:index.php?mensaje=LLENAR TODOS LOS DATOS&user=".$user."&pas=".$pas."&usuario=".$_POST['nombre']."&password=".$_POST['pass']); 
exit(); 
} 
} 
?>

conexion.php

Código PHP:

  <?php  
function conectar() 
{ 
    mysql_connect("localhost","user","*****"); 
    mysql_select_db("login"); 
} 
function desconectar() 
{ 
    mysql_close(); 
} 
?>

espero me den alguna idea

Adell · #2 (**permalink**) 11/11/2010, 06:23

ylellan,
si como te dicen es muy inseguro ya que usas todas las variables que recibe por GET y por POST sin pasarles ningun filtro y eso puede causar que te inyecten codigo.

te recomendaria mirar sobre las funciones mysql_real_escape_string, strip_tags, htmlentities para empezar.

en el foro encontraras muchisima informacion ya que es un tema tratado con regularidad

saludos

mayid · #3 (**permalink**) 11/11/2010, 07:25

Yo hasta el dia de hoy me estoy fiando de mysql_real_escape_string y strip_tags. Pero hay un par de cosas mas que se pueden hacer y yo las dejo por pendientes...

ylellan · #4 (**permalink**) 11/11/2010, 08:10

gracias mis amores investigare sobre esas funciones.

ylellan · #5 (**permalink**) 11/11/2010, 16:52

haber mis amores, que tal esto, ahora sera mas seguro o puedo hacer algo mas:

Código PHP:

  <?php 
session_start(); 
include "conexion.php"; 
if(isset($_POST['enviar'])){ 
if(!empty($_POST['nombre']) && !empty($_POST['pass'])){ 
conectar(); 
    $nombre=strip_tags(mysql_real_escape_string($_POST['nombre'])); 
    $pass=md5(strip_tags(mysql_real_escape_string($_POST['pass']))); 
     
    $b=mysql_query("select *from usuarios where usuario='$nombre'") or die ("error".mysql_error()); 
    $existe=mysql_num_rows($b); 
    $c=mysql_fetch_array($b); 
    desconectar(); 
    if($existe>0){ 
    $_SESSION['usuario']=$nombre; 
    if($pass==$c['password'] && !empty($pass)){ 
    $_SESSION['admitio']="si"; 
    header("location:frame.php"); 
    exit(); 
    }else{ 
    header("location:index.php?pai=EL PASSWORD ESTA MAL"); 
    exit(); 
    } 
    } 
    else{ 
    header("location:index.php?pai=NO EXISTE USUARIO"); 
    exit(); 
    } 
} 
else{ 
//si no hay valores en los inputs 
if(empty($_POST['nombre'])){ 
$user="*FALTA NOMBRE"; 
} 
if(empty($_POST['pass'])){ 
$pas="*FALTA PASSWORD"; 
} 
header("location:index.php?mensaje=LLENAR TODOS LOS DATOS&user=".$user."&pas=".$pas."&usuario=".$_POST['nombre']."&password=".$_POST['pass']); 
exit(); 
} 
} 
?>

dcreate · #6 (**permalink**) 11/11/2010, 18:58

oye ylellan hasta lo puedes dejar de aporte, porque siempre buscan una forma de login y el tuyo se ve interesante

ylellan · #7 (**permalink**) 11/11/2010, 20:42

alguien que me pueda contestar que mas puedo meterle, mi codigo hasta el momento ahi esta

ylellan · #8 (**permalink**) 13/11/2010, 18:45

como ya nadie me pone alguna cosa es me quiere decir q ya es seguro

carlos_belisario · #9 (**permalink**) 13/11/2010, 18:53

pudieras tambien meterle algo de expreciones regulares para validar que el usuario que tienes solo contenga el formato que tienes yo use un poco en este tema donde preguntaba algo parecido a lo que tu preguntas

ylellan · #10 (**permalink**) 14/11/2010, 15:10

hay gracias mi amores, como quiero hacer bien segura mi login para sacarme un 10 en la escuela, muchas gracias

acidlake · #11 (**permalink**) 14/11/2010, 15:19

podrias agregarle otro campo a la base de datos, en el cual pudieras ver si el usurio esta activo o no en la base de datos aca te dejo un ejemplo.

aca el formulario

Código HTML:

Ver original<p>
 
                    <cite><q><?php if(isset($error)){ echo '            <p>' . $error . '</p>' . "\n";}?></q></cite>
 
        <form method="post" action="webmaster-login.html" id="frmcontact">
 
            <input type="hidden" name="_submit_check" value="1"/>
 
            <div>
 
                <label for="txtname">Username:</label> <input type="text" name="username" class="textboxcontact" id="username" /> 
 
                <br />
 
                <label for="txtemail">Password:</label> <input name="password" type="password" class="textboxcontact" id="password" size="40" /> 
 
                <br />
 
                <br />
 
                <label></label><input type="submit" name="submitcontact" value="Entrar" class="submitcontact" />
 
            </div>
 
        </form>
 
                        </p>

aqui el archivo para procesar el formulario

Código PHP:

  $db = new PDO('mysql:host=' . $servidor . ';dbname=' . $bd, $usuario, $contrasenia); 
 
function processLogin($db) 
{ 
        $consulta = $db->prepare('SELECT * FROM admin WHERE username="'.$_POST["username"].'" AND password="'.md5($_POST['password']).'" AND active="1"'); 
        $consulta->execute(); 
         
        foreach($consulta as $item) 
        { 
 
            if($consulta->rowCount()==1){ 
                if($item['active']==1) 
                    { 
                        session_start(); 
                        $_SESSION['user_id'] = $item['id']; 
                        $_SESSION['level_id'] = $item['level']; 
                        $_SESSION['logged_in'] = TRUE; 
                        header ("Location: webmaster-cpanel.html"); 
                    } 
            }else{ 
            //aca estarian los errores 
            } 
        } 
}

aca la funcion que tienes k poner para revisar que el usuario esta logeado o no

Código PHP:

  function checkLogin($db,$levels) 
{ 
    if(!$_SESSION['logged_in']) 
        { 
            $access = FALSE; 
        } 
        else { 
                $consulta = $db->prepare('SELECT level FROM admin WHERE id="'.$_SESSION['user_id'].'"'); 
                $consulta->execute(); 
                 
                $access = FALSE; 
                 
                foreach($consulta as $item) 
                    { 
                        if($item['level']==1) 
                        { 
                            $access = TRUE; 
                        } 
                    } 
 
        } 
         
        if($access==FALSE) 
        { 
            header("Location: webmaster-entrar.html"); 
        } 
}

y aqui seria para salir, logout

Código PHP:

  function webmasterOut() 
{ 
    session_start(); 
    if ( $_SESSION['logged_in'] == TRUE ) 
    {         
        session_destroy(); 
    } 
    header ( "Location: webmaster-entrar.html" ); 
}

acidlake · #12 (**permalink**) 14/11/2010, 15:23

Cita:

Iniciado por acidlake

podrias agregarle otro campo a la base de datos, en el cual pudieras ver si el usurio esta activo o no en la base de datos aca te dejo un ejemplo.

Nota: me falto ponerle los filtros a los POST y a los GET

xcorpion · #13 (**permalink**) 14/11/2010, 17:41

@ylellan: veo que tu codigo crea una variable de sesion incluso si el password es incorrecto, no le resta seguridad mientras no te bases en esa variable para validar una sesion pero te aconsejaria que lo dejaras fuera, igualmente creo que no es recomendable confirmarle al usuario que determinado usuario existe. Si quieres más seguridad aun, puedes evitar ataques de brute force limitando el numero de intentos de loggeo.

Simplifique un poco el codigo y me quedo así:

Código PHP:

  session_start();  
include "conexion.php";  
 
if(isset($_POST['enviar'])){  
    if(!empty($_POST['nombre']) && !empty($_POST['pass'])){  
        conectar();  
 
        $nombre=strip_tags(mysql_real_escape_string($_POST['nombre']));  
        $pass=md5(strip_tags(mysql_real_escape_string($_POST['pass'])));  
      
        $b=mysql_query("select *from usuarios where usuario='$nombre' AND password='$pass'") or die ("error".mysql_error());  
 
        if(mysql_num_rows($b)){  
 
            $c=mysql_fetch_array($b);  
            desconectar();  
            $_SESSION['usuario']=$nombre;  
            $_SESSION['admitio']="si";  
            header("location:frame.php");  
        }else{ 
            header("location:index.php?pai=NO EXISTE USUARIO"); 
        }  
}else{  
    //si no hay valores en los inputs  
    if(empty($_POST['nombre'])) $user="*FALTA NOMBRE";  
    if(empty($_POST['pass'])) $pas="*FALTA PASSWORD";  
    header("location:index.php?mensaje=LLENAR TODOS LOS DATOS&user=".$user."&pas=".$pas."&usuario=".$_POST['nombre']."&password=".$_POST['pass']);  
}

ylellan · #14 (**permalink**) 17/11/2010, 12:04

oks, gracias, lo checo, mas tarde les regalo karma porq ahorita toy algo ocupada. besos

nomafeito · #15 (**permalink**) 17/11/2010, 12:12

Te falta regenerate_session_id y crear tokens que cambien cada vez que chequees para evitar estos ataques:

-Session fixation
-Session hijacking
-Session poisoning (injection).

Te recomiendo un buen libro: SECURING PHP WEB APPLICATIONS de Tricia y William Ballad.
- ISBN-13: 978-0-321-53434-7. por amazon lo tendrás. ahí lo explica todo claro, aunque ahora que me he vuelto paranoico he pillado otro sobre applications hacking security y no recuerdo que mas, estoy esperando recibirlo.

nomafeito · #16 (**permalink**) 17/11/2010, 12:19

Cita:

Iniciado por mayid

Yo hasta el dia de hoy me estoy fiando de mysql_real_escape_string y strip_tags. Pero hay un par de cosas mas que se pueden hacer y yo las dejo por pendientes...

que no se te olvide el addslashes();