Crear un sistema seguro en PHP + Mysql + htaccess

rhp07 · #1 (**permalink**) 23/01/2011, 14:26

Hola, estoy intentando crear un sistema seguro en php. La idea está en que solo puedes acceder a la web si ingresas en tu cuenta (Que tiene un nombre de usuario y una contraseña).

El scrip consta de un archivo "index.php" que contiene la autentificación de los usuarios y se encarga de cargar el resto de scripts de la carpeta "/phpscripts" que contiene la web que se mostrará una vez autentificado el usuario.
La carpeta "/phpscripts" está protegido contra el accesso a la carpeta mediante htaccess, con lo que la única forma de ejecutar dichos scripts es estando autentificado e incluidas desde el "index.php".

La autentificación se hace mediante 3 cokies (1x NOMBRE DE USUARIO y 2x NUMEROS MD5 AL AZAR QUE SE GENERAN CADA VEZ QUE UN USUARIO SE LOGUEA Y SE GUARDA EN LA BASE DE DATOS MYSQL)

Solo puede haber un usuario logueado una vez en un equipo (es decir, no pueden haber dos ordenadores distintos logueados en la misma cuenta).

El script comprueba el nombre de usuario y los dos hasches y si coinciden con los de las cokies entonces deja cargar la página (ej: "index.php?pagina=blog")

PROBLEMAS: Si algún atacante remoto consigue el contenido de las 3 cokies puede acceder al sistema facilmente.

Hay alguna forma de conseguir un sistema que sea algo más seguro contra un ataque de éste tipo? Teniendo en cuenta que no uso servidor que permita conexiones shtml.

Usar sesiones es más seguro? O hay alguna forma de hacer el sistema mas seguro?

P.D: Si hay forma más segura, no es preciso tampoco que se limite a un ordenador, pero sería preferente.

Alguien me puede dar algunos consejos o ejemplos de hacer algún sistema más seguro en php???

Un saludo.

matyrock98 · #2 (**permalink**) 26/12/2012, 17:24

Hola
Yo me meti a PHP hace mas o menos 1 mes.
Pero creo que una buena forma es si encriptas la contraseña en la BD y envez de usar cookies usar sesiones.

Mira un ejemplo (sin codigo):
1.- Al registrarse podrias encriptar la contraseña y insertar a la BD la contraseña encriptada.
2.- Al iniciar sesion podrias encriptar la contraseña enviada por el usuario ($_POST) y comprovar si la contraseña encriptada (que esta en la BD) es igual a la contraseña encriptada enviada por el usuario

Aqui el codigo para el registro:

Código PHP:

Ver original<?php
// la conexion a la BD iniciada previamente
if (isset($_POST["txtUsername"]) && isset($_POST["txtPassword"])){
$nUser = $_POST["txtUsername"];
$pUser = $_POST["txtPassword"];
$registrar= mysql_query("INSERT INTO usuarios (nombre_usuario,pass_usuario)  VALUES ('".$nUser."','".sha1($pUser)."'");
if ($registrar){
echo "Te has registrado correctamente";
} else {
echo "Ocurrio un error al registrarte.";
}
?>

Aqui el codigo para el inicio de sesion:

Código PHP:

Ver original<?php
// la conexion a la BD iniciada previamente
if (isset($_POST["txtUsername"]) && isset($_POST["txtPassword"])){
$nUser = $_POST["txtUsername"];
$pUser = $_POST["txtPassword"];
$seleccion = mysql_query("SELECT * FROM usuarios WHERE nombre_usuario='".$nUser."' AND pass_usuario='".sha1($pUser)."' LIMIT 1");
if ($seleccion){
$_SESSION["userName"]=$nUser;
$_SESSION["userPass"]=$pUser;
echo "Hola ".$_SESSION["userName"];
} else {
echo "Nombre de usuario y/o contraseña incorrectos.";
}
?>

malakian · #3 (**permalink**) 27/12/2012, 00:16

El inicio de sesión es vulnerable a Sql Inyection, por lo menos hay que escapar las cadenas de texto.

Código PHP:

Ver original$nUser = addslashes($_POST["txtUsername"]);
$pUser = addslashes($_POST["txtPassword"]);

Ya que estas encriptando en la clave no sería necesario.. pero bueno...

saludos