[SOLUCIONADO] Restringir acceso a ciertas paginas a algunos usuarios logeados

Jlopez2014 · #1 (**permalink**) 20/08/2014, 10:44

Hola a todos de nuevo! hoy vengo con un tema muy bueno, y es el de restringir accesos a ciertas paginas de mi web site a algunos usuarios logeados (ya lo se, el titulo lo dice -.- pero no importa jeje)... es decir es como darle privilegios a ciertos usuarios y a otros no... yo ya tengo mis codigos donde se logea mis usuarios de la BD, y tengo varios y estos entran a la web sin problemas; ahora como seria para negarles a algunos el acceso a ciertas paginas especificas?... GRACIAS! por la atencion desde ya... saludos

toledo_nocturno · #2 (**permalink**) 20/08/2014, 11:14

Hola! Mira, necesitamos algo más de información.

Pero en esencia, te diría que hicieras una tabla con los niveles de acceso en tu bbdd, y otra en la que cruzas según que usuario y qué privilegio.

Y luego, al comienzo de cada página, evalúa si el usuario que está navegando tiene acceso o no en base a ese valor (Bien porque lances la query, bien porque lo cargues durante el loggin en $_SESSION o $_COOKIE)

Es muy vago todo, pero es la esencia, ya te lo puedes complicar lo que quieras.

Un saludo!

Jlopez2014 · #3 (**permalink**) 20/08/2014, 12:32

Hola! bueno mira esto es lo que en esencia tengo que es lo que hasta el momento me permite loguearme correctamente y ya...
Control.php:

Código PHP:

Ver original<?
     /* A continuación, realizamos la conexión con nuestra base de datos en MySQL */
     $link = mysql_connect("localhost","elian4_user1","kaeling");
     mysql_select_db("elian4_mip", $link);
 
     /* El query valida si el usuario ingresado existe en la base de datos. Se utiliza la función 
     htmlentities para evitar inyecciones SQL. */
     $myusuario = mysql_query("select idusuario from usuarios 
                                 where idusuario =  '".htmlentities($_POST["usuario"])."'",$link);
     $nmyusuario = mysql_num_rows($myusuario);
 
     //Si existe el usuario, validamos también la contraseña ingresada y el estado del usuario...
     if($nmyusuario != 0){
          $sql = "select idusuario
               from usuarios
               where estado = 1
               and idusuario = '".htmlentities($_POST["usuario"])."' 
               and clave = '".md5(htmlentities($_POST["clave"]))."'";
          $myclave = mysql_query($sql,$link);
          $nmyclave = mysql_num_rows($myclave);
 
          //Si el usuario y clave ingresado son correctos (y el usuario está activo en la BD), creamos la sesión del mismo.
          if($nmyclave != 0){
               session_start();
               //Guardamos dos variables de sesión que nos auxiliará para saber si se está o no "logueado" un usuario
               $_SESSION["autentica"] = "SIP";
               $_SESSION["usuarioactual"] = mysql_result($myclave,0,0); //nombre del usuario logueado.
               //Direccionamos a nuestra página principal del sistema.
               header ("Location: admin.php");
          }
          else{
               echo"<script>alert('La contrase\u00f1a del usuario no es correcta.');
               window.location.href=\"index.php\"</script>"; 
          }
     }else{
          echo"<script>alert('El usuario no existe.');window.location.href=\"index.php\"</script>";
     }
     mysql_close($link);
?>

Seguridad.php

Código PHP:

Ver original<?
@session_start();
 
if($_SESSION["autentica"] != "SIP"){
    header("Location: index.php");
    exit();
}
?>

Espero y podamos ver como hacer... Gracias!

Alexis88 · #4 (**permalink**) 20/08/2014, 12:40

Échale un vistazo a esto, probablemente te sirva.

Saludos

Jlopez2014 · #5 (**permalink**) 20/08/2014, 14:25

A la verdad toda esa información es algo compleja para entender rapidamente, me gustaria es saber como trabajar con lo que ya tengo hecho...

Jlopez2014 · #6 (**permalink**) 20/08/2014, 14:53

consegui fue unas lineas php para pedir usuario y contraseña al querer entrar a una pagina especifica, pero cuando valido sigue igual apareciendo el cuadro de dicha validacion como si el usuario y contraseña ingresada fueran incorrectas... esta es la linea:

Código PHP:

Ver original<?php
   if (($PHP_AUTH_USER!="Joe") || ($PHP_AUTH_PW!="123")) {
      header('WWW-Authenticate: Basic realm="Acceso restringido"');
      header('HTTP/1.0 401 Unauthorized');
      echo 'Authorization Required.';
      exit;
   }
?>

que opinan al respecto?

toledo_nocturno · #7 (**permalink**) 21/08/2014, 03:43

mira, yo en tu caso, viendo tu script me ceñiría a lo siguiente:

1.Ir al phpmyadmin de tu base de datos y añadir un campo de tipo tinyint con el que controlar los privilegios que se vayan escalando en la tabla de usuarios. Debería ser algo así:
ALTER TABLE `usuarios` ADD `privilegios` TINYINT(1) NOT NULL DEFAULT '0' ;

2.Cambia la consulta en la que buscas un el usuario y a lo que buscas el user sacas el privilegio, la de la línea 14 por
$sql = "SELECT idusuario, privilegios FROM usuarios WERE estado = 1 AND idusuario = '".htmlentities($_POST["usuario"])."' AND clave = '".md5(htmlentities($_POST["clave"]))."'";

3.En el if de la línea 23, añades una nueva variable de sesión como más te guste. Algo así podría valer:
$datos =mysql_fetch_array($myclave);
$_SESSION["nivel"] = datos[1];

4.En las páginas que quieras proteger, pues añades algo así:

if($_SESSION["nivel"] >= 0){
//Aquí metes tu página
}else{
echo 'no tienes nivel suficiente';
}

Es un sistema muy básico y mejorable, pero creo que te puede hacer el apaño mientras vas descubriendo por tí mismo cómo hacer más cosas. La idea es que pueda ser un sistema escalable: 0 para usuarios registrados, 1 para usuarios especiales, 2 para mods, 3 para admins... o como quieras :D

Espero que te sea de ayuda!!!

Jlopez2014 · #8 (**permalink**) 21/08/2014, 06:33

Excelente gracias por la guia ya voy a comenzar a plicarla, aunque una duda más... en la parte donde de valida con la variable de sesion if($_SESSION["nivel"] >= 0){, puedo colocarle dos condiciones.. osea que si mi admin es valor 0 y alguien más tiene acceso a esa seccion de la pagina (valor 3 digamos), puedo condicionar a que valide los dos valores? algo como:

=0 and =3.
puedo hacerlo asi o eso ya requiere de más cosas?...

GRACIAS!!!! :D

toledo_nocturno · #9 (**permalink**) 21/08/2014, 10:56

Si, claro, tu puedes poner las condiciones que quieras. Imagina que quieres que una página pueda ser vista por el grupo de usuarios con permiso 1, y el de permiso 4. pues en el if, añades las condiciones que sean, una detrás de otra:

if($_SESSION["nivel"] == 1 && $_SESSION["nivel"] == 4){
//Aquí metes tu página
}else{
echo 'no tienes nivel suficiente';
}

Esto es muy simple, pero te puede servir para lo que tienes entre manos, y puedes ampliarlo fácilmente. En las faqs/wiki de forosdelweb puedes encontrar muchos manuales que te pueden ayudar a ir expandiendo esto.

Espero que te sea de ayuda.

Un saludo!

Jlopez2014 · #10 (**permalink**) 21/08/2014, 12:43

Gracias! tu aporte ha sido de gran ayuda!... para la pagina y para mi que sigo aprendiendo

toledo_nocturno · #11 (**permalink**) 21/08/2014, 14:06

Me alegro, todos pasamos por estas cosas, para eso estamos.

Un saludo!

Jlopez2014 · #12 (**permalink**) 25/08/2014, 06:42

Hola compañero disculpa te moleste de nuevo pero tuve otros pendientes no permitiendome la situación poder probar toda la adaptación de mi código con el que me ayudaste... y resulta que en la edición del php control mandaba un error con la linea 23 y conclui que era que a "datos" le hacia falta este signo "$" y pues lueo que lo agregue si pude iniciar sesión; más con las lineas a agregar en la pagina a restringir ahi si no he sabido interpretar lo más seguro y pues me manda este error: Parse error: syntax error, unexpected '}' in /home2/elian4/public_html/mip/proyecto.php on line 5

y esta es la linea que tengo, presiento que se debe a que no he sabido llamar a la pagina si el privilegio esta activo jejeje:

Código PHP:

Ver original<?php
if($_SESSION["nivel"] = 0){
proyecto.php
}else{
echo 'no tienes nivel suficiente';
}
?>

Gracias y ojala puedas colaborarme que solo me falta esto para mi proyecto jejeje

toledo_nocturno · #13 (**permalink**) 25/08/2014, 07:02

Muy buenas,

vamos a ver. Imagino que debes sustituir todo el código que has puesto por:

Código PHP:

 
    <?php 
    if($_SESSION["nivel"] == 0){ 
    include("proyecto.php"); 
    }else{ 
    echo 'no tienes nivel suficiente'; 
    } 
    ?>

Y ahora, un poco de manuales. Para poder ir investigando, ganando autonomía y, en definitiva, aprender el lenguaje, hay que leer algunas cosillas.
Operadores booleanos, necesario para todo lo básico que tenga que ver con operaciones de lógia.
Include y Require, la base para reciclar códgio.

Un saludo!!!

Jlopez2014 · #14 (**permalink**) 25/08/2014, 08:33

Hola Toledo, basandome en tu linea de códigos y viendo los ejemplos del link del include que me pasaste, segun mi pagina hace el salto cuando es el usuario correcto pero me sale la pagina es del host diciendo error 500 internal server error, y en la barra de la url se ve la ruta que se supone deberia tomar, es decir proyecto.php... que pasa ahi?... tambien probe de esta forma y todos los usuarios se van a la pagina que hice de acceso restringido :O aunque solo lo tenia con un signo igual y no los dos, mas con los dos se queda como pegado al punto de que el navegador me dice esto: Firefox ha detectado que el servidor está redirigiendo la solicitud a esta dirección de una manera en la que nunca terminará...

estos son mis codigos:

para la pagina que deseo bloquear:

Código PHP:

Ver original<?php
if($_SESSION["nivel"] == 0){
header("Location: http://www.kaelingenieros.com/mip/proyecto.php"); 
}else{
header("Location: http://www.kaelingenieros.com/mip/acceso_restringido.php");
}
?>

y este el de php control...

Código PHP:

Ver original<?
     /* A continuación, realizamos la conexión con nuestra base de datos en MySQL */
     $link = mysql_connect("localhost","elian4_user1","kaeling");
     mysql_select_db("elian4_mip", $link);
 
     /* El query valida si el usuario ingresado existe en la base de datos. Se utiliza la función 
     htmlentities para evitar inyecciones SQL. */
     $myusuario = mysql_query("select idusuario from usuarios 
                                 where idusuario =  '".htmlentities($_POST["usuario"])."'",$link);
     $nmyusuario = mysql_num_rows($myusuario);
 
     //Si existe el usuario, validamos también la contraseña ingresada y el estado del usuario...
     if($nmyusuario != 0){
          $sql = "select idusuario, privilegios
               from usuarios
               where estado = 1
               and idusuario = '".htmlentities($_POST["usuario"])."' 
               and clave = '".md5(htmlentities($_POST["clave"]))."'";
          $myclave = mysql_query($sql,$link);
          $nmyclave = mysql_num_rows($myclave);
 
          //Si el usuario y clave ingresado son correctos (y el usuario está activo en la BD), creamos la sesión del mismo.
          if($nmyclave != 0){
          $datos =mysql_fetch_array($myclave);
$_SESSION["nivel"] = $datos[1];
               session_start();
               //Guardamos dos variables de sesión que nos auxiliará para saber si se está o no "logueado" un usuario
               $_SESSION["autentica"] = "SIP";
               $_SESSION["usuarioactual"] = mysql_result($myclave,0,0); //nombre del usuario logueado.
               //Direccionamos a nuestra página principal del sistema.
               header ("Location: admin.php");
          }
          else{
               echo"<script>alert('La contrase\u00f1a del usuario no es correcta.');
               window.location.href=\"index.php\"</script>"; 
          }
     }else{
          echo"<script>alert('El usuario no existe.');window.location.href=\"index.php\"</script>";
     }
     mysql_close($link);
?>

que hay de mal pues segun estan bien...

toledo_nocturno · #15 (**permalink**) 25/08/2014, 09:03

Ambas url me redirigen a http://www.kaelingenieros.com/mip/index.php. ¿Esto es correcto?

Y, luego, en el script de control, inicia tu php así:
<?php

en vez de
<?

Por si acaso no tienes los short tags

Jlopez2014 · #16 (**permalink**) 25/08/2014, 09:13

si es correcto pues si no estas logueado te devuelve a la index, y aunque coloque el <?php siguen las mismas dificultades... es más, vi que en la linea de bloqueo de la pagina el cero (0) no estaba distinguido entre comillas y se las coloque pero lo que pasa ahora por eso es que a todos los usuarios los manda a la pagina restringida... en el php no veo donde se especifique los valores del campo privilegios en la variable datos... sera por eso que no identifica ninguna distincion de usuario????... actualmente tengo asi la linea:

Código PHP:

Ver original<?php
if($_SESSION["nivel"] == "0"){
header("Location: proyecto.php"); 
}else{
header("Location: acceso_restringido.php");
}
?>

y digo lo del campo privilegios pues en un php que tengo que valida el usuario en cada pagina que se llama seguridad la sentencia es asi... por eso quedo muy inquieto con la situacion que se me presenta ahora...

Código PHP:

Ver original<?
@session_start();
 
if($_SESSION["autentica"] != "SIP"){
    header("Location: index.php");
    exit();
}
?>

toledo_nocturno · #17 (**permalink**) 25/08/2014, 09:31

Muy buenas,

El session_start(); debe estar en cada página, al principio, incluso en la que controla el nivel.
A ver si vamos dando con ello.

Un saludo!

Dalam · #18 (**permalink**) 26/08/2014, 05:43

Cita:

Iniciado por Jlopez2014

Hola compañero disculpa te moleste de nuevo pero tuve otros pendientes no permitiendome la situación poder probar toda la adaptación de mi código con el que me ayudaste... y resulta que en la edición del php control mandaba un error con la linea 23 y conclui que era que a "datos" le hacia falta este signo "$" y pues lueo que lo agregue si pude iniciar sesión; más con las lineas a agregar en la pagina a restringir ahi si no he sabido interpretar lo más seguro y pues me manda este error: Parse error: syntax error, unexpected '}' in /home2/elian4/public_html/mip/proyecto.php on line 5

y esta es la linea que tengo, presiento que se debe a que no he sabido llamar a la pagina si el privilegio esta activo jejeje:

Código PHP:

Ver original<?php
if($_SESSION["nivel"] = 0){
proyecto.php
}else{
echo 'no tienes nivel suficiente';
}
?>

Gracias y ojala puedas colaborarme que solo me falta esto para mi proyecto jejeje

El problema esta seguro que dentro de tu archivo proyecto.php no tienes cerrada unas llaves { y hace saltar ese error. Lee el codigo y mira que todas las llaves esten cerradas.
Tambien debes poner el session_start() al principio de tu script.
y $_SESSION["nivel"] = 0 siempre sera true por que lo que haces es asignar el valor 0 a $_SESSION["nivel"].
$_SESSION["nivel"] == "0" tampoco es valido por que interpreta el 0 como un string en vez de hacerlo como un numero entero.

Para php la tabla de la verdad en este caso seria

Cita:

"0" !== 0

Jlopez2014 · #19 (**permalink**) 26/08/2014, 06:20

Así es! :D estoy aprendiendo a utilizar bien todo lo relacionado a las variables de sesion... gracias por tu aporte! :D pero el codigo me funciono con el cero entre comillas, probare quitandolas

mrjanino · #20 (**permalink**) 27/08/2014, 16:56

Entonces el código entero cual sería es que estoy haciendo una cosa igual y no se como se hace, AYUDA! :D

Jlopez2014 · #21 (**permalink**) 28/08/2014, 06:14

Hola!, no se si el aclarar tus dudas se pueda en este tema o debas crear uno, como veras soy nuevo en esto del foro más cuenta que tienes y así como me colaboraron y enseñaron yo te colaboro... feliz día! :D

mrjanino · #22 (**permalink**) 28/08/2014, 07:06

Pero el código que habeis compartido finalmente como queda esque no me funciona

Jlopez2014 · #23 (**permalink**) 28/08/2014, 14:49

Hola mrjanino disculpa la demora pero andaba ocupado, bueno en resumen el codigo queda asi:

primero el php que protege la pagina o da privilegios de acceder a unos cuantos usuarios:

Código PHP:

Ver original<?php 
    include("seguridad.php");
    include("conexion.php");
    
    if($_SESSION["nivel"] == "1" or $_SESSION["nivel"] == "0"){
?>

ese va en la cabecera y este va el final de todo tu codigo... es la continuacion...

Código PHP:

Ver original<?php
    }else{
    header("Location: acceso_restringido.php");
    }
    ?>

y el php del control seria asi:

Código PHP:

Ver original<?
     /* A continuación, realizamos la conexión con nuestra base de datos en MySQL */
     $link = mysql_connect("localhost","elian4_user1","kaeling");
     mysql_select_db("elian4_mip", $link);
 
     /* El query valida si el usuario ingresado existe en la base de datos. Se utiliza la función 
     htmlentities para evitar inyecciones SQL. */
     $myusuario = mysql_query("select idusuario from usuarios 
                                 where idusuario =  '".htmlentities($_POST["usuario"])."'",$link);
     $nmyusuario = mysql_num_rows($myusuario);
 
     //Si existe el usuario, validamos también la contraseña ingresada y el estado del usuario...
     if($nmyusuario != 0){
          $sql = "select idusuario, privilegios
               from usuarios
               where estado = 1
               and idusuario = '".htmlentities($_POST["usuario"])."' 
               and clave = '".md5(htmlentities($_POST["clave"]))."'";
          $myclave = mysql_query($sql,$link);
          $nmyclave = mysql_num_rows($myclave);
          $datos =mysql_fetch_array($myclave);
 
          //Si el usuario y clave ingresado son correctos (y el usuario está activo en la BD), creamos la sesión del mismo.
          if($nmyclave != 0){
               session_start();
               //Guardamos dos variables de sesión que nos auxiliará para saber si se está o no "logueado" un usuario
               $_SESSION["nivel"] = $datos[1];
               $_SESSION["autentica"] = "SIP";
               $_SESSION["usuarioactual"] = mysql_result($myclave,0,0); //nombre del usuario logueado.
               //Direccionamos a nuestra página principal del sistema.
               header ("Location: admin.php");
          }
          else{
               echo"<script>alert('La contrase\u00f1a del usuario no es correcta.');
               window.location.href=\"index.php\"</script>"; 
          }
     }else{
          echo"<script>alert('El usuario no existe.');window.location.href=\"index.php\"</script>";
     }
     mysql_close($link);
?>

con estas lineas el permitir acceso solo a un grupo de usuarios es posible :D

mrjanino · #24 (**permalink**) 29/08/2014, 03:34

Y este código donde va en seguridad.php o en conexión.php o en la misma pestaña? No sé dónde va! :(

Código PHP:

  <? 
     /* A continuación, realizamos la conexión con nuestra base de datos en MySQL */ 
     $link = mysql_connect("localhost","elian4_user1","kaeling"); 
     mysql_select_db("elian4_mip", $link); 
  
     /* El query valida si el usuario ingresado existe en la base de datos. Se utiliza la función  
     htmlentities para evitar inyecciones SQL. */ 
     $myusuario = mysql_query("select idusuario from usuarios  
                                 where idusuario =  '".htmlentities($_POST["usuario"])."'",$link); 
     $nmyusuario = mysql_num_rows($myusuario); 
  
     //Si existe el usuario, validamos también la contraseña ingresada y el estado del usuario... 
     if($nmyusuario != 0){ 
          $sql = "select idusuario, privilegios 
               from usuarios 
               where estado = 1 
               and idusuario = '".htmlentities($_POST["usuario"])."'  
               and clave = '".md5(htmlentities($_POST["clave"]))."'"; 
          $myclave = mysql_query($sql,$link); 
          $nmyclave = mysql_num_rows($myclave); 
          $datos =mysql_fetch_array($myclave); 
  
          //Si el usuario y clave ingresado son correctos (y el usuario está activo en la BD), creamos la sesión del mismo. 
          if($nmyclave != 0){ 
               session_start(); 
               //Guardamos dos variables de sesión que nos auxiliará para saber si se está o no "logueado" un usuario 
               $_SESSION["nivel"] = $datos[1]; 
               $_SESSION["autentica"] = "SIP"; 
               $_SESSION["usuarioactual"] = mysql_result($myclave,0,0); //nombre del usuario logueado. 
               //Direccionamos a nuestra página principal del sistema. 
               header ("Location: admin.php"); 
          } 
          else{ 
               echo"<script>alert('La contrase\u00f1a del usuario no es correcta.'); 
               window.location.href=\"index.php\"</script>";  
          } 
     }else{ 
          echo"<script>alert('El usuario no existe.');window.location.href=\"index.php\"</script>"; 
     } 
     mysql_close($link); 
?>

Jlopez2014 · #25 (**permalink**) 29/08/2014, 08:19

Hola!, tardo en responder por el trabajo jeje, pero ese ultimo codigo es del php "control" que da acceso a la pagina inicial y de paso con la modificacion hecha regula los privilegios junto al otro codigo; seguridad.php es el que no deja entrar manualmente a niguna pagina si no se esta logueado... espero poderte colaborar ;)