Cómo crear un login y zonas privadas con PHP

wanamingo2 · #1 (**permalink**) 12/01/2017, 02:42

Una pregunta genérica.
Me pregunto que método es mejor y más seguro para que usuarios que ya han hecho login, puedan navegar en zonas privadas de mi Web.

Supongamos que alguien ingresa su nombre y contraseña, y la base de datos devuelve que es correcto. A partir de aquí deberiamos:

1- Darle una cookie?
setcookie('username', 'Pepito', time()+60*60*24*365, '/');

2 -Crear una sesion?
session_start();
$_SESSION['usuario']='Pepito' ;

3-Controlar la sesion en la base de datos?
Creando una tabla "user_sessions" que controle la última entrada de un usuario en la página.

Dar una cookie me crearia problema de seguridad si navega desde un ordenador publico (o si su navegador no acepta cookies). Crear una sesión parece lo más lógico (aunque creo que las sesiones tambien usan cookies?). Controlar las sesiones con la base de datos, hace trabajar a la base de datos y no le veo la utilidad.

¿Alguien me puede explicar algo sobre el tema?
Tambien si algo algo que debería saber para no comprometer la seguridad.

Un saludo, Gracias,

petit89 · #2 (**permalink**) 12/01/2017, 08:04

La principal diferencia entre sesion y cookie es que la primera se borra todo su acceso o expirá completamente cuando el usuario cierra el navegador, la segunda permite almacenar información local permitiendo la entrada a la web(zonas privadas) sin importar que cierre el navegador, hasta que se cumpla el tiempo establecido(si existe) o se borre la cookie que contiene la información que permite accesar a las zonas privadas.

La practica comun, es que almacenes en la base de datos que nivel de usuario tiene cada quien, 0 y 1(por ejemplo) donde 0 es el usuario comun y 1 el usuario con derechos para ver zonas privadas. al momento del login guardas en una variable $_SESSION el nivel y en cada documento privado haces una comprobación sencilla:

Código PHP:

Ver originalif($nivel_usuario != 1){ //Para ser visualizada necesita nivel 1
echo "No puedes ver esta pagina";
//codigo de redirección, etc
exit();
}

Guardarlo en la base de datos?... de mi parte lo veo innecesario a no ser que quieras controlar tiempo de sessión almacenando el tiempo de entrada, sumando X cantidad de tiempo y haciendo la comprobación cada minuto o 5mins, esto implicaria renovación de tiempo etc.. gasto de recursos que a no ser que sea estrictamente necesario, no veo el porque....

wanamingo2 · #3 (**permalink**) 12/01/2017, 09:10

Gracias por la respuesta.

Si en lugar de usar la base de datos, utilizo solo la variable de sesion, tambien deberia funcionar... verdad?

Código PHP:

Ver originalif($_SESSION['usuario']== '' ;){ //No existe la variable de sesion
    echo "Tienes que hacer login para poder ver esta pagina";
    //codigo de redirección, etc
    exit();
    }

(Yo siempre he utilizado jommla y worlpress, y tenia el login masticadito, por eso tengo mucho miedo de la fortaleza de estos metodos).

Alguien tiene algun consejo en cuanto a la fortaleza, vulnerabilidad y la seguridad, haciendo un login de este tipo?

mpozo · #4 (**permalink**) 12/01/2017, 09:21

Si conoces sus ip, puedes dar o negar acceso a archivos o directorios a ciertas ip con htacess http://developando.com/blog/consejos...ar-en-htaccess

xerifandtomas · #5 (**permalink**) 14/01/2017, 05:32

Quizás esto te venga bien seguridad de las sesiones php

AngelKrak · #6 (**permalink**) 14/01/2017, 07:33

yo acabe de hacer este sistema de login y register hace poco con inicio rapido tipo facebook

Es este el sistema

aun que ya hicieron 2 diseños para ese sistema los cuales son los siguientes

Este es el mas reciente

http://www.heroesdelaweb.com/threads...register.6163/

y este fue el primero despues del original

http://www.heroesdelaweb.com/threads...vascript.6161/