Dudas con login del sistema de usuarios

welko · #1 (**permalink**) 03/05/2010, 14:09

Estoy creando un sistema de usuarios desde 0 y me ha surgido una duda, estoy usando sesiones para controlar si el usuario está logueado o no.

1º duda: ¿Cómo puedo hacer el típico: "Inicio de sesión automático" / "Recuerdarme"?

Esto que te loguea automáticamente cada vez que entras en la web

2º duda (Está relacionada con la 1º): ¿Además de utilizar sesiones debería utilizar cookies?, he leido por el "gugle" que las sesiones duran hasta que se cierra el navegador, Si es así, ¿el usuario debería loguearse cada vez que entre en la web?

Heli0s · #2 (**permalink**) 03/05/2010, 14:10

Usando sesiones cuando el navegador es cerrado la session se pierde, y eso es lo que evita precisamente el "Inicio de sesión automatico", que lo que hace es guardar los datos en la cookie para logearse automaticamente.

Un saludo

welko · #3 (**permalink**) 03/05/2010, 14:16

Cita:

Iniciado por Heli0s

Usando sesiones cuando el navegador es cerrado la session se pierde, y eso es lo que evita precisamente el "Inicio de sesión automatico", que lo que hace es guardar los datos en la cookie para logearse automaticamente.

Un saludo

OK, y que debería hacer una cookie para el nombre de usuario y otra para la contraseña (¿sería seguro?) y obtener los valores para que haga un login con esos datos o hacer una sola para el nombre de usuario y que al entrar en la página le haga una session nueva para ese usuario :/

Heli0s · #4 (**permalink**) 03/05/2010, 14:21

Guardes lo que guardes (Yo te recomiendo guardar el ID del usuario junto con un número, y después cifrarlo) debe estar cifrado, ten en cuenta que las cookies están en cada ordenador, y si no están cifradas pueden ser visibles a cualquiera, y lo más peligroso es si encima guardas la contraseña, yo te recomiendo algo como:

Código PHP:

  $hash = numero_que_tu_elijas; 
$id_codificada = md5($id.$hash);

De está forma dificilmente van a sacar el ID, o la contraseña, o lo que decidas meter en la cookie, y una vez ya tengas el dato, únicamente es compararlo con los datos de la base de datos y sacas que usuario es al que corresponde esa cookie.

Un saludo

millan2525 · #5 (**permalink**) 03/05/2010, 14:24

Cita:

Iniciado por welko

OK, y que debería hacer una cookie para el nombre de usuario y otra para la contraseña (¿sería seguro?) y obtener los valores para que haga un login con esos datos o hacer una sola para el nombre de usuario y que al entrar en la página le haga una session nueva para ese usuario :/

En principio si, puedes cifrar la contraseña si quieres ahi...

No obstante esta claro que tu marcas eso donde te conectes tu(o gente muy cercana)

welko · #6 (**permalink**) 03/05/2010, 14:30

Cita:

Iniciado por Heli0s

Guardes lo que guardes (Yo te recomiendo guardar el ID del usuario junto con un número, y después cifrarlo) debe estar cifrado, ten en cuenta que las cookies están en cada ordenador, y si no están cifradas pueden ser visibles a cualquiera, y lo más peligroso es si encima guardas la contraseña, yo te recomiendo algo como:

Código PHP:

  $hash = numero_que_tu_elijas; 
$id_codificada = md5($id.$hash);

De está forma dificilmente van a sacar el ID, o la contraseña, o lo que decidas meter en la cookie, y una vez ya tengas el dato, únicamente es compararlo con los datos de la base de datos y sacas que usuario es al que corresponde esa cookie.

Un saludo

Pero en todo caso para poder buscar el usuario que es debería ser sin ese numero random o con un numero que siempre sea el mismo y teniendo la id encriptada con md5 en la BD porque según tengo entendido md5 no se puede desencriptar no?

millan2525 · #7 (**permalink**) 03/05/2010, 14:33

Cita:

Iniciado por welko

Pero en todo caso para poder buscar el usuario que es debería ser sin ese numero random o con un numero que siempre sea el mismo y teniendo la id encriptada con md5 en la BD porque según tengo entendido md5 no se puede desencriptar no?

Todo se puede desencriptar, lo más seguro era sha-1, ahora sha-512 porque también se ha descubierto como desencriptar el sha-1(que son 40 caracteres xD)

No obstante con sha-1 ya te da una temporada para desencriptarlo, y es más seguro que MD5

Heli0s · #8 (**permalink**) 03/05/2010, 14:34

Ese número debería ser el mismo siempre ya que sino no podrías saber el ID exacto, el md5 teoricamente no se puede desencriptar, por lo menos fácilmente, lo lógico para comprobarlo es coger el ID de la base de datos, hacer lo mismo, añadirle el hash, y encriptarlo, y una vez hayas hecho eso, se realiza la comprobación.

Un saludo