[SOLUCIONADO] Problema con una sesión

adridb · #1 (**permalink**) 23/07/2015, 11:05

Buenas, tengo un problema con la sesión que creo en la página que estoy haciendo. La sesión se crea pero la cookie PHPESSID no pero si accedo a la ruta donde está el archivo que crea la sesión se crea esta cookie. Lo utilizo para traducir la web y el caso es que funciona pero cuando cambio de página se vuelve a poner el idioma español y si accedo al archivo locale.php, se crea la cookie y a partir de ahí ya no se cambia el idioma al cambiar de página.

Este es el código

head.php (lo tengo incluido en todas las páginas que tengo)

Código PHP:

 
... <?php require_once ('inc/locale.php') ;?>...

locale.php (el que hace la traducción):

Código PHP:

  <?php if (session_id() == '') {
    session_start(); ...
}

Tengo claro que el problema no es de la traducción sino de la configuración del php o algo que se me escapa.
Aquí tengo el phpinfo: [URL="https://www.dropbox.com/s/yybjyecrmvvqpfp/phpinfo.png?dl=0"]https://www.dropbox.com/s/yybjyecrmvvqpfp/phpinfo.png?dl=0[/URL]

Si alguno sabe cualpuede ser el problema se lo agradecería bastante!!

PD: en el hosting gratuito donde lo tenía para ver el desarrollo se crea nada más meterme en la página principal (index.php)

Gracias.

Triby · #2 (**permalink**) 23/07/2015, 17:09

Es más fácil detectar estos fallos si en local muestras todos los errores y advertencias de PHP; al principio de tu script agrega la siguiente línea:

Código PHP:

Ver originalini_set('error_reporting', E_ALL);

Es muy probable que la cookie no se esté generando porque envías una salida al navegador antes de session_start(), de hecho, esta es la causa más común de todos los problemas con sesiones y redirecciones.

La solución es muy sencilla: Lo primero que debes hacer en tu script es incluir session_start(); sin haber enviado ni un espacio o salto de línea previamente.

xfxstudios · #3 (**permalink**) 23/07/2015, 17:12

y si en vez de una cookie (que las noto muy inseguras), cargas la preferencia de idioma en la sesion del usuario, creo que es más facil

Triby · #4 (**permalink**) 23/07/2015, 17:24

xfxstudios, creo que no leiste la parte donde mencionó "cookie PHPESSID" que es la que se encarga de propagar la sesión, de lo contrario, tendría que hacerlo por URL y "lo noto" mucho más inseguro.

xfxstudios · #5 (**permalink**) 23/07/2015, 18:13

es cuestion de gustos y no es necesario propagarla por url, claro va a depender de como tenga organizada su pagina, yo tengo un sistema administrativo y la sesion es cargada en la pagina principal, el resto de las paginas se gargan directamente dentro de esta sin que la principal se recargue lo que mantiene la sesion en todas sin necesidad de pasarla por url ni cookie, se cierra la ventana y muere la sesion, se desloqean y muere la sesion, pero como dije es cuestion de gustos, no uso cookies porque son facilmente manipulables, o al menos lo son para alguien experto en ellas, es solo mi opinión claro, y por cierto si le esa parte. Saludos!!

Triby · #6 (**permalink**) 23/07/2015, 21:25

Cita:

Iniciado por xfxstudios

...mantiene la sesion en todas sin necesidad de pasarla por url ni cookie...

xfxstudios, creo que tienes que leer el manual de PHP acerca de propagación de sesión: http://php.net/manual/es/session.idpassing.php

Luego regresas y nos cuentas cómo haces para "no usar cookie" ni pasar la id de sesión por URL, estoy muy intrigado y me interesaría saberlo.

xfxstudios · #7 (**permalink**) 24/07/2015, 05:02

Cita:

Iniciado por Triby

xfxstudios, creo que tienes que leer el manual de PHP acerca de propagación de sesión: http://php.net/manual/es/session.idpassing.php

Luego regresas y nos cuentas cómo haces para "no usar cookie" ni pasar la id de sesión por URL, estoy muy intrigado y me interesaría saberlo.

ok amigo no necesito leer el manual para ello, se de lo que hablas y tambien se de lo que hablo, en mis enlaces, en ninguno, paso la sesion, que como hago, bueno simple:

creo una index principal contentiva de varias secciones, las habituales son cabecera, menu, pie, pero en el centro hay una que tiene un iframe al 100% tanto de ancho como de alto, todos los enlaces del menu se abren alli, la pagina que inicia y mantiene la sesion es la index, al no recargarla con cada clic del menu esta sesion se transmite a las paginas que se abren dentro del iframe (este metodo lo utilizo en varias aplicaciones de gestion con dashboard) y de esa manera no tengo la necesidad de propagar la sesion por url ni cookie, intentalo y me cuentas, es fácil en realidad.

Como puedes ver no utilizo cookies ni tengo que pasarlas por url para mantener mi sesion abierta, y como dije antes si cierro el navegador, se muere la sesion; si me deslogueo se cierra la sesion, es solo cuestion de jugar con los elementos, al igual que lo dije al principio cada quien utiliza el metodo que más le convenga de acuerdo a las necesidades de lo que este programando, este que te comente es el mas factibles para las aplicaciones que realizo

ejemplos:

este es el codigo que valida e inicia la sesion en la pagina del formulario:

Código PHP:

Ver originalsession_start();
 
if($_POST['usuario']==""){
    $msg = "";
} else if($_POST['password']==""){
    $msg = "";
}else{
    
$usuario = mysqli_real_escape_string($db, $_POST['usuario']);
    
$users = $db->query("SELECT usuario,pass,nivel FROM usuarios WHERE usuario ='$usuario'");
$row_result = $users->fetch_array();
 
$password = (crypt($_POST['password'], $row_result['pass']));
 
$usuario = $row_result['usuario'];
$clave = $row_result['pass'];
$nivel = $row_result['nivel'];
 
 if($clave == $password){
     $_SESSION['MM_Username'] = $usuario;
     $_SESSION['logueado'] = true;
     $_SESSION['nivel'] = $nivel;
     
     header('location: escritorio.php');
     
 } else{
     $msg = "datos invalidos";
 }
}

xfxstudios · #8 (**permalink**) 24/07/2015, 05:03

y este es el que tengo en las sub-paginas que abro desde el menu que se cargan en el iframe:

Código PHP:

Ver originalsession_start();
     
    if (isset($_SESSION['MM_Username']) && $_SESSION['logueado'] == true)
    {
    }
    else
    {
        header('Location:/app/error_acceso.php');
    
    echo "<br/>" . "Esta pagina es solo para usuarios registrados." . "<br/>";
    
    echo "<br/>" . "<a href='index.php'>Ingresa aqui!!!</a>";
     
    exit;
    }

en ningun enlace de este sitio vas a ver referencias a las variables de sesion ni a cookies ni a nada que se le paresca

y con este destruyo la sesion:

Código PHP:

Ver original<?php
  session_start();
  unset($_SESSION['MM_Username']); 
  unset($_SESSION['logueado']);
  unset($_SESSION['nivel']);
  session_destroy();
  header("Location: index.php");
  exit;
?>

y asi estan conformados todos los enlaces del menu:

Código PHP:

Ver original<li><a href="#?rif=<?php echo $row_rif['rif']; ?>&unidad=<?php echo $row_datos_nuevo['unidad_explot']; ?>" target="texte"><i class="fa fa-angle-double-right" style="color:#FFFFFF"></i> Entrega de Dotacion</a></li>

como puedes ver paso unos datos, pero estos no tienen nada que ver con la sesion, son solo datos relevantes a la consulta

NueveReinas · #9 (**permalink**) 24/07/2015, 06:36

A los sniffers de network con un MiTM nos basta y sobra con obtener una cookie de sesión para hacer una inyección de cookies y por ende un session hijacking.

Just sayin'.

xfxstudios · #10 (**permalink**) 24/07/2015, 09:42

no uso cookie ni paso la sesion por url

chronos682 · #11 (**permalink**) 24/07/2015, 12:11

Cita:

Iniciado por xfxstudios

no uso cookie ni paso la sesion por url

Yo también uso el mismo código que tu usas, pero si tienes chrome haz la prueba y dale Inspeccionar elemento en cualquier parte de tu web, ve a Resources, Cookies y vas a ver que a pesar que no usaste cookies, php automáticamente genera la cookie PHPESSID de la que habla el compañero. Es la forma como se propaga la sesión, de lo contrario tendrías que estar logueando en cada página de tu web.

chronos682 · #12 (**permalink**) 24/07/2015, 12:37

Cita:

Iniciado por NueveReinas

A los sniffers de network con un MiTM nos basta y sobra con obtener una cookie de sesión para hacer una inyección de cookies y por ende un session hijacking.

Just sayin'.

Pero entonces si enviar el SID por URL o por POST es riesgoso y si se puede obtener la cookie de sesión a través de ataque MiTM, cómo se debe hacer la propagación de la sesión?

xfxstudios · #13 (**permalink**) 24/07/2015, 13:31

Cita:

Iniciado por chronos682

Yo también uso el mismo código que tu usas, pero si tienes chrome haz la prueba y dale Inspeccionar elemento en cualquier parte de tu web, ve a Resources, Cookies y vas a ver que a pesar que no usaste cookies, php automáticamente genera la cookie PHPESSID de la que habla el compañero. Es la forma como se propaga la sesión, de lo contrario tendrías que estar logueando en cada página de tu web.

Tienes razón, uno aprende algo cada dia, pero que quede claro entonces, no las paso por url jajajajaja, saludos

Triby · #14 (**permalink**) 24/07/2015, 13:50

Cita:

Iniciado por chronos682

Pero entonces si enviar el SID por URL o por POST es riesgoso y si se puede obtener la cookie de sesión a través de ataque MiTM, cómo se debe hacer la propagación de la sesión?

Lo principal es no confiar nunca en el usuario, sobre todo si la sesión corresponde a niveles de administrador o moderador, en ese caso, guarda la IP del usuario en variable de sesión y en cada petición compara con la IP que te envía el navegador. Por supuesto, no hay sistema 100% seguro, pero acciones como esta ayudan un poco a minimizar los riesgos.

xfxstudios, vaya, entonces parece que aunque no sea tu intención, ni necesites leer el manual... sí usas cookies para propagar la sesión!

P.D. Por favor no publiques mensajes consecutivos, si te falto agregar algo y no hay respuestas posteriores, puedes editar tu mensaje.

adridb · #15 (**permalink**) 25/07/2015, 07:54

Era eso! Muchas gracias Triby :D