sistema de logueo basico, no me restringe acceso

Trapar · #1 (**permalink**) 11/08/2011, 21:11

Hola.

Bueno, estoy armando de cero un sistema de usuarios bien simplon para practicar ya que recién estoy empezando.

Ahora que ya hice, casi de manera de boceto, el sistema de registro, logueo y logout, estoy probando el tema de restringir el acceso a determinadas páginas. Para ello cree un archivo, que pienso usar como include cada vez que quiero restringir una web.
Pero al incluirlo en una página, noto que no la restringe, por lo que en mi sistema de logueo tuve que haber echo cosas mal con las sesiones y no veo qué, aunque tengo unas pistas... Les pongo los códigos en orden del sistema de logueo:

conectar.php (incluido en casi todas las páginas de la web)

Código PHP:

  <?php

$conexion = mysql_connect("localhost", "root", "pw");
mysql_select_db("basedatos", $conexion);

if (isset($_SESSION['logueado']) && isset($_SESSION['usuario']))
{
die();
} else {
session_start();
}

?>

login.php formulario de login

Código PHP:

  <html><body><FORM ACTION="log_ver.php" METHOD="post">
Usuario: <INPUT TYPE="text" NAME="logus" SIZE="20" MAXLENGHT="20"> <BR>
Contraseña: <INPUT TYPE="password" NAME="logpw" SIZE="20" MAXLENGHT="20"> <BR>
<INPUT TYPE="submit" CLASS="boton" VALUE="Entrar">
</FORM></body></html>

log_ver.php procesa el formulario

Código PHP:

  <?php

include 'conectar.php';

$logus=$_POST['logus'];
$logpw=$_POST['logpw'];

if ($_POST['logus'] != "" && $_POST['logpw'] != "") 
{
$coincide = mysql_query("SELECT id FROM usuarios WHERE nick LIKE '$logus'");
    if ($fila = mysql_fetch_array($coincide)) 
    {
    $coincide2 = mysql_query("SELECT id FROM usuarios WHERE pass LIKE '$logpw'");
        if ($fila2 = mysql_fetch_array($coincide2)) 
        {
        $_SESSION['logueado'] = "si";
        $_SESSION['usuario'] = "$logus";
        header ("Location: log_ok.php");
        } else {
        echo "Contraseña incorrecta"; // Falta retorno a login usando Javasc
        }
    } else {
    echo "El usuario no existe"; // Falta retorno a login usando Javasc
    }
} else {
echo "Debe llenar el formulario para continuar"; // Falta retorno a login usando Javasc
}

?>

Bueno, hasta acá estaría logueado.
Luego me deslogueo yendo al archivo log_out.php

Código PHP:

  <?php

session_destroy();
header ("Location: ..\index.php");

?>

Y entro a una página a la que quiero restringirle el acceso y que el mismo sea solo para usuarios registrados. Para ello hago un include en ella al archivo que pongo a continuación (que dicho sea de paso, es el unico archivo al que no le pude poner como include el conectar.php ya que si lo hago me dice que va a ignorar la session que se inicia en el ya que hay una que ya se encuentra iniciada...)

Código PHP:

  <?php
//Restringe el acceso a la sección que lo incluya. Se debe estar logueado para entrar.
if ($_SESSION['logueado'] = 'si') 
{
echo "Hola ¡Gracias por visitarnos!"; 
// falta redirreccionar
} else {
header ("Location: login.php");
}

?>

Yo creo que hay cosas mal en log_ver.php en la parte en que creo 2 variables de session y le asigno valores... me saltee algo importante por ahí, mi experiencia con sesiones es CERO..
Gracias desde ya por su ayuda.

andresdzphp · #2 (**permalink**) 11/08/2011, 22:44

No puedes usar sesiones si al principio antes de usarlas no colocas session_start()

http://www.php.net/manual/es/function.session-start.php

La idea mas o menos es crear un archivo login.php que verifica en la base de datos si el usuario y contraseña existen y son correctos. De ser así creas la sesión por ejemplo:

Código PHP:

Ver originalsession_start(); //Siempre que vayas a usar sessiones
 
$_SESSION['usuario'] = 'andres';
$_SESSION['logeado'] = 'si';

Después de esto en cada página compruebas si existe esta sesión:

Código PHP:

Ver original<?php
 
session_start();
 
if (isset($_SESSION['logeado']) == 'si') {
    echo 'Veo contenido solo para registrados';
} else {
    echo 'Solo usuarios registrados';
}

Más o menos una pista ^^ como siempre inténtalo y publica tus dudas.

Trapar · #3 (**permalink**) 11/08/2011, 22:52

Pero el session_start() está en todas las páginas que puse menos en el log_out (y en la de restringir acceso) El resto tiene el include conectar.php que a su vez tiene el session_start.

El script que restringe el acceso (el último archivo que puse) no tiene el session_start porque al ponerlo me sale lo siguiente:
Notice: A session had already been started - ignoring session_start() in C:\.............................\log_req.php on line 3

andresdzphp · #4 (**permalink**) 11/08/2011, 22:54

Un ejemplo de destruir sessiones, como vez empieza con session_start

Código PHP:

Ver original<?php
// Inicializar la sesión.
// Si está usando session_name("algo"), ¡no lo olvide ahora!
session_start();
 
// Destruir todas las variables de sesión.
$_SESSION = array();
 
// Si se desea destruir la sesión completamente, borre también la cookie de sesión.
// Nota: ¡Esto destruirá la sesión, y no la información de la sesión!
if (ini_get("session.use_cookies")) {
    $params = session_get_cookie_params();
    setcookie(session_name(), '', time() - 42000,
        $params["path"], $params["domain"],
        $params["secure"], $params["httponly"]
    );
}
 
// Finalmente, destruir la sesión.
session_destroy();
?>

Edit: No me parece buena idea ese archivo conectar.php para manejar las sesiones.

Trapar · #5 (**permalink**) 11/08/2011, 23:24

Gracias andrés, voy a chequear ese logout que pusiste :)

En verdad yo tenía todas las sesiones iniciadas correctamente antes de empezar a tocar para ver si solucionaba el problema...el bucle ese lo cree después.
Ya revisé que estén todas la sesiones iniciadas en todos los archivos y demás y puse el session al principio, y volvi a revisar toda la cadena de codigos, y no veo ningún error, pero al entrar a la página que está restringida por el include de este archivo:

Código PHP:

  <?php 
//Restringe el acceso a la sección que lo incluya. Se debe estar logueado para entrar. 
 
include 'conectar.php'; 
if ($_SESSION['logueado'] = 'si')  
{ 
echo "Hola ¡Gracias por visitarnos!";  
// falta redirreccionar 
} else { 
header ("Location: login.php"); 
} 
 
?>

Me imprime el echo como si la condicion if ($_SESSION['logueado'] = 'si') fuera verdadera, cuando es imposible que lo sea, no solo porque la sesion fue destruida sino porque lo probe en un navegador sin cookies, con la base de datos reiniciada, etcétera, y sucede lo mismo. Por ende, tengo un problema con esa session['logueado'] Creo que hay algo mal en el modo en que registre las sesiones en el login pero veo todo correcto

Código PHP:

  <?php 
 
include 'conectar.php'; 
 
$logus=$_POST['logus']; 
$logpw=$_POST['logpw']; 
 
if ($_POST['logus'] != "" && $_POST['logpw'] != "")  
{ 
$coincide = mysql_query("SELECT id FROM usuarios WHERE nick LIKE '$logus'"); 
    if ($fila = mysql_fetch_array($coincide))  
    { 
    $coincide2 = mysql_query("SELECT id FROM usuarios WHERE pass LIKE '$logpw'"); 
        if ($fila2 = mysql_fetch_array($coincide2))  
        { 
        $_SESSION['logueado'] = "si"; 
        $_SESSION['usuario'] = "$logus"; 
        header ("Location: log_ok.php"); 
        } else { 
        echo "Contraseña incorrecta"; // La contraseña es incorrecta 
        } 
    } else { 
    echo "El usuario no existe"; // El usuario no existe 
    } 
} else { 
echo "Debe llenar el formulario para continuar"; // Debe ingresar ambos datos para continuar 
} 
 
?>

andresdzphp · #6 (**permalink**) 11/08/2011, 23:27

Como te digo no me parece buena práctica manejar las sesiones con ese archivo conectar.php, simplemente en cada página colocas al inicio session_start() y ya te evitas problemas. Sobre este archivo el error es claro:

Código PHP:

Ver original<?php 
//Restringe el acceso a la sección que lo incluya. Se debe estar logueado para entrar. 
 
include 'conectar.php'; 
if ($_SESSION['logueado'] = 'si')  
{ 
echo "Hola ¡Gracias por visitarnos!";  
// falta redirreccionar 
} else { 
header ("Location: login.php"); 
} 
 
?>

Estas asignando = y necesitas comparar ==. Además te recomiendo que siempre uses funciones como isset() y empty()

Edit: aquí no hacen falta las comillas: $_SESSION['usuario'] = "$logus"; y no se que tal se comporte LIKE en las consultas yo usuaría un igual y ya (=)

Trapar · #7 (**permalink**) 11/08/2011, 23:53

Buenisimo andres gracias!!! Ya funciona como quería :)

-Definitivamente era lo de = vs ==.

-En cuanto a no usar session_start() en el include, por ahora lo saque, pero pienso que para un portal grande sería comodo tenerlo en include, ya que debo estar conectado a la BD en todas las páginas, y a su vez estar con la sesión iniciada en practicamente todas también... pero te haré caso para no marearme.

-Lo de isset() en este caso puntual (si he entendido su uso en otros) no me queda del otro claro si existe una diferencia ... entre
if ($_SESSION['logueado'] == 'si')
y
if (isset($_SESSION['logueado']) = 'si')
Ya que si su valor es 'si' a su vez no va a ser NULL, y viceversa.

-Lo de LIKE voy a consultar si tiene una dif. real con el operador, pero parece que no y que es de uso extensivo, y en el manual de MYSQL no dice nada al respecto contra el mismo, pero si descubro algo pasaré por acá.

Nuevamente gracias, voy a estar más atento a que (=) != (==)

andresdzphp · #8 (**permalink**) 12/08/2011, 00:04

La diferencia entre los 2 es que si entran al archivo sin antes pasar por el logeo, te va a dar un error de tipo Notice la variable $_SESSION no está definida. Para eso sirven empty() y isset().

if ($_SESSION['logueado'] == 'si') Da error si entran a esta página y no está definida la sesión logueado

if (isset($_SESSION['logueado']) == 'si')

Sin hablar de los problemas se seguridad que esto trae. Date una pasada por este link:

http://www.tufuncion.com/php_seguridad_I