Registro de usuarios con PHP y seguridad HASH

gonzaloaedo · #1 (**permalink**) 17/06/2011, 11:49

Hola usuarios
resulta que estoy trabajando en un formulario de registro de usuario con php, lo bueno es que queda registrad en la base de datos, pero no sé cómo hacer para que quede encriptado la contraseña con el famoso hash o sha1 o como sea que se llame, como soy nuevo en esto y no soy programador e estado haciendo esto con ensayo y error y ya me duele la cabeza hace varios días

otra cosa tambien es que cuando lo subo no se ve el formulario en el browser (mozilla firefox) les dejo mi trabajo y vean en que estoy fallando, les agradeceré montones su ayuda.

Código PHP:

Ver original<?php
session_start();
 
mysql_connect('localhost','XXXXXXXX','XXXXXXXX')or die ('Ha fallado la conexión: '.mysql_error());
mysql_select_db("XXXXXXXX")or die ('Error al seleccionar la Base de Datos: '.mysql_error());
function mostrar(){
echo'<form action="registrar_sha1.php" method="post" name="1">
Usuario (max 20): 
  <input type="text" name="username" size="20" maxlength="20" /><br />
Password (max 10): 
<input type="password" name="password" size="10" maxlength="10" />
Confirma: <input type="password" name="password2" size="10" maxlength="10" /><br />
Nombre (max 20): 
  <input type="text" name="nombre" size="20" maxlength="20" /><br />
Apellido (max 20): 
  <input type="text" name="apellido" size="20" maxlength="20" /><br />  
Email (max 40): 
<input type="text" name="email" size="20" maxlength="40" /><br />
<input type="submit" onclick="return ec ();" value="Registrar" />
</form>';
}
function mostrar1(){
echo'<FORM ACTION="validar_usuario.php" METHOD="post">
                  Usuario : <INPUT TYPE="text" NAME="usuario" SIZE=20 MAXLENGTH=20><br />
                  Password: <INPUT TYPE="password" NAME="password" SIZE=10 MAXLENGTH=10><br />
                  <INPUT TYPE="submit" VALUE="Ingresar">
                </FORM>';
}
?>
 
<?php
 
// verificamos si se han enviado ya las variables necesarias.
if (isset($_POST['username']) && (isset($_POST['password'])) 
{
    $username = $_POST['username'];
    $password = $_POST['password'];
    $cadena = '478@€shdk%%';
    $pass=$_POST['password'];
    $hash=sha1 ($pass);
    $password2 = $_POST['password2'];
    $nombre = $_POST['nombre'];
    $apellido = $_POST['apellido'];
    $email = $_POST['email'];
    // Hay campos en blanco
    if($username==NULL||$password==NULL||$password2==NULL||$nombre==NULL||$apellido==NULL||$email==NULL) {
        echo 'un campo está vacio.';
    mostrar();
    }else{
        // ¿Coinciden las contraseñas?
        if($password!=$password2) {
            echo 'Las contraseñas no coinciden';
            mostrar();
        }else{
            // Comprobamos si el nombre de usuario o la cuenta de correo ya existían
            $checkuser = mysql_query('SELECT usuario FROM usuarios WHERE usuario='$username'');
            $username_exist = mysql_num_rows($checkuser);
            $checkemail = mysql_query('SELECT email FROM usuarios WHERE email='$email'');
            $email_exist = mysql_num_rows($checkemail);
            if ($email_exist>0||$username_exist>0) {
                echo 'El nombre de usuario o la cuenta de correo estan ya en uso';
                mostrar();
            }else{
                $query = 'INSERT INTO usuarios (usuario, password, nombre, apellido, email, hash, fecha)
                VALUES (\''.$username.'\',\''.$password.'\',\''.$nombre.'\',\''.$apellido.'\',\''.$email.'\',\''.$hash.'\',\''.date("d-m-Y").'\')';
                mysql_query($query);
                echo 'El usuario '.$username.' ha sido registrado de manera satisfactoria.<br />';
                echo 'Ahora puede entrar ingresando su usuario y su password <br />';
                mostrar1();
                ?>
                
                <?php
            }
        }
    }
}else{
mostrar();
}
?>

Patriarka · #2 (**permalink**) 17/06/2011, 12:07

hay dos variables confusas:

$pass=$_POST['password'];

if($password==NULL)

Uncontroled_Duck · #3 (**permalink**) 17/06/2011, 12:14

Encríptala desde la variable que ya has recogido.

Código PHP:

  $username = $_POST['username']; 
$password = $_POST['password']; 
$cadena = '478@€shdk%%'; 
$hash = sha1($password); 
...

Y otra cosa, para que la encriptas y después la guardas en la base de datos sin encriptar?

Saludos,

jahepi · #4 (**permalink**) 17/06/2011, 12:18

Hola gonzaloaedo!

Estás encriptando la contraseña de manera correcta, pero hay un detalle, ya no es necesario que guardes la contraseña original en la base de datos.
Sólo guarda la contraseña encriptada en el campo password de la base de datos.

Ahora, cuando un usuario inicia sesión lo que debes hacer es comparar la contraseña ingresada en el formulario de iniciar sesión, la encriptas con el algoritmo sha1 y la comparas con la que tienes almacenda en la base de datos que es la que previamente almacenaste encriptada:

Código php:

Ver originalif(sha1($password) == $passwordDB) {
    echo "Contraseñas iguales";
}

Un saludo y suerte !

Patriarka · #5 (**permalink**) 17/06/2011, 12:18

estamos todos locos''?????

Uncontroled_Duck · #6 (**permalink**) 17/06/2011, 12:40

También hay errores de sintaxis

Línea 34

Código PHP:

  if (isset($_POST['username']) && (isset($_POST['password'])) 
// Debería ser: 
if (isset($_POST['username']) && isset($_POST['password']))

Línea 56

Código PHP:

  $checkuser = mysql_query('SELECT usuario FROM usuarios  
    WHERE usuario='$username''); 
// Debería ser: 
$checkuser = mysql_query('SELECT usuario FROM usuarios  
    WHERE usuario='.$username.'');

Línea 58

Código PHP:

  $checkemail = mysql_query('SELECT email FROM usuarios  
    WHERE email='$email''); 
Debería ser: 
$checkemail = mysql_query('SELECT email FROM usuarios  
    WHERE email='.$email.'');

gonzaloaedo · #7 (**permalink**) 17/06/2011, 14:35

por favor sigan me estoy inspirando cualquier cosa consulto otra vez
gracias

johhan16 · #8 (**permalink**) 17/06/2011, 14:51

pues por aqui va la cosa

Código PHP:

  <?php 
session_start(); 
  
mysql_connect('localhost','XXXXXXXX','XXXXXXXX')or die ('Ha fallado la conexión: '.mysql_error()); 
mysql_select_db("XXXXXXXX")or die ('Error al seleccionar la Base de Datos: '.mysql_error()); 
function mostrar(){ 
echo'<form action="registrar_sha1.php" method="post" name="1"> 
Usuario (max 20):  
  <input type="text" name="username" size="20" maxlength="20" /><br /> 
Password (max 10):  
<input type="password" name="password" size="10" maxlength="10" /> 
Confirma: <input type="password" name="password2" size="10" maxlength="10" /><br /> 
Nombre (max 20):  
  <input type="text" name="nombre" size="20" maxlength="20" /><br /> 
Apellido (max 20):  
  <input type="text" name="apellido" size="20" maxlength="20" /><br />   
Email (max 40):  
<input type="text" name="email" size="20" maxlength="40" /><br /> 
<input type="submit" onclick="return ec ();" value="Registrar" /> 
</form>'; 
} 
function mostrar1(){ 
echo'<FORM ACTION="validar_usuario.php" METHOD="post"> 
                  Usuario : <INPUT TYPE="text" NAME="usuario" SIZE=20 MAXLENGTH=20><br /> 
                  Password: <INPUT TYPE="password" NAME="password" SIZE=10 MAXLENGTH=10><br /> 
                  <INPUT TYPE="submit" VALUE="Ingresar"> 
                </FORM>'; 
} 
?> 
  
<?php 
  
// verificamos si se han enviado ya las variables necesarias. 
if (isset($_POST['username']) && isset($_POST['password']))  
{ 
    $username = $_POST['username']; 
    $password = $_POST['password']; 
    $cadena = '478@€shdk%%'; 
    $pass=$_POST['password']; 
    $hash=sha1($pass); 
    $password2 = $_POST['password2']; 
    $nombre = $_POST['nombre']; 
    $apellido = $_POST['apellido']; 
    $email = $_POST['email']; 
    // Hay campos en blanco 
    if($username==NULL||$password==NULL||$password2==NULL||$nombre==NULL||$apellido==NULL||$email==NULL) { 
        echo 'un campo está vacio.'; 
    mostrar(); 
    }else{ 
        // ¿Coinciden las contraseñas? 
        if($password!=$password2) { 
            echo 'Las contraseñas no coinciden'; 
            mostrar(); 
        }else{ 
            // Comprobamos si el nombre de usuario o la cuenta de correo ya existían 
            $checkuser = mysql_query('SELECT usuario FROM usuarios WHERE usuario='.$username.''); 
            $username_exist = mysql_num_rows($checkuser); 
            $checkemail = mysql_query('SELECT email FROM usuarios WHERE email='.$email.''); 
            $email_exist = mysql_num_rows($checkemail); 
            if ($email_exist>0||$username_exist>0) { 
                echo 'El nombre de usuario o la cuenta de correo estan ya en uso'; 
                mostrar(); 
            }else{ 
                $query = 'INSERT INTO usuarios (usuario, password, nombre, apellido, email, hash, fecha) 
                VALUES (\''.$username.'\',\''.$password.'\',\''.$nombre.'\',\''.$apellido.'\',\''.$email.'\',\''.$hash.'\',\''.date("d-m-Y").'\')'; 
                mysql_query($query); 
                echo 'El usuario '.$username.' ha sido registrado de manera satisfactoria.<br />'; 
                echo 'Ahora puede entrar ingresando su usuario y su password <br />'; 
                mostrar1(); 
                ?> 
                 
                <?php 
            } 
        } 
    } 
}else{ 
mostrar(); 
} 
?>

aunque yo en lo particular uso md5 y por otro lado si es para un sitio publico debes agregar mas seguridad

gonzaloaedo · #9 (**permalink**) 17/06/2011, 15:14

Cita:

Iniciado por Uncontroled_Duck

También hay errores de sintaxis

Línea 34

Código PHP:

  if (isset($_POST['username']) && (isset($_POST['password']))
// Debería ser:
if (isset($_POST['username']) && isset($_POST['password']))

Línea 56

Código PHP:

  $checkuser = mysql_query('SELECT usuario FROM usuarios 
    WHERE usuario='$username'');
// Debería ser:
$checkuser = mysql_query('SELECT usuario FROM usuarios 
    WHERE usuario='.$username.'');

Línea 58

Código PHP:

  $checkemail = mysql_query('SELECT email FROM usuarios 
    WHERE email='$email'');
Debería ser:
$checkemail = mysql_query('SELECT email FROM usuarios 
    WHERE email='.$email.'');

Código PHP:

Ver original<?php
 
// verificamos si se han enviado ya las variables necesarias.
if (isset($_POST['username']) && isset($_POST['password']))  
{
    $username = $_POST['username'];
    $password = $_POST['password'];
    $cadena = '478@€shdk%%';
    $hash = sha1 ($password);
    $password2 = $_POST['password2'];
    $nombre = $_POST['nombre'];
    $apellido = $_POST['apellido'];
    $email = $_POST['email'];
    // Hay campos en blanco
    if($username==NULL||$password==NULL||$password2==NULL||$nombre==NULL||$apellido==NULL||$email==NULL) {
        echo 'un campo está vacio.';
    mostrar();
    }else{
        // ¿Coinciden las contraseñas?
        if($password!=$password2) {
            echo 'Las contraseñas no coinciden';
            mostrar();
    }else{
        // ¿Son iguales las contraseñas?    
        if(sha1($password) == $passwordDB) {
            echo 'Contraseñas iguales';
            mostrar();
    }else{  
            // Comprobamos si el nombre de usuario o la cuenta de correo ya existían
            $checkuser = mysql_query('SELECT usuario FROM usuarios WHERE usuario='.$username.'');
            $username_exist = mysql_num_rows($checkuser);
            $checkemail = mysql_query('SELECT email FROM usuarios WHERE email='.$email.'');
            $email_exist = mysql_num_rows($checkemail);
            if ($email_exist>0||$username_exist>0) {
                echo 'El nombre de usuario o la cuenta de correo estan ya en uso';
                mostrar();
            }else{
                $query = 'INSERT INTO usuarios (usuario, password, nombre, apellido, email, hash, fecha)
                VALUES (\''.$username.'\',\''.$password.'\',\''.$nombre.'\',\''.$apellido.'\',\''.$email.'\',\''.$hash.'\',\''.date("d-m-Y").'\')';
                mysql_query($query);
                echo 'El usuario '.$username.' ha sido registrado de manera satisfactoria.<br />';
                echo 'Ahora puede entrar ingresando su usuario y su password <br />';
                mostrar1();
                ?>
                
                <?php
            }
        }
    }
}else{
mostrar();
}
?>

como voy por ahi amigos, lo unico malo es que sigo sin poder ver el formulario en el browser ( no lo muestra)

Uncontroled_Duck · #10 (**permalink**) 17/06/2011, 16:13

No puedes ir pegando código y poniendo donde quede más bonito.

Código PHP:

  if(sha1($password) == $passwordDB) {

Esta línea es para hacer una comparación entre dos contraseñas, la que hay en la DB y la que mandas con el form de validación.

Y para eso debe haber antes una consulta donde saques esos datos de la DB y lo pongas en la variable $passwordDB... Si no es como intentar mandar un mail con un donuts, por mucho que lo intentes, no va a salir nada.

Otra cosa, intenta comparar los códigos, ver los cambios e intentar comprender como funciona.

A ver, con esto debería valer:

Código PHP:

 
// Aquí van las funciones que tienes. 
<?php 
  
// verificamos si se han enviado ya las variables necesarias. 
if (isset($_POST['username']) && isset($_POST['password'])) { 
 
    $username    = $_POST['username']; 
    $password    = $_POST['password']; 
    $password2    = $_POST['password2']; 
    $nombre        = $_POST['nombre']; 
    $apellido    = $_POST['apellido']; 
    $email        = $_POST['email']; 
     
    $cadena = '478@€shdk%%'; 
    $pass     = sha1($password); // Encriptas la contraseña 
     
    // Hay campos en blanco 
    if($username == NULL || $password == NULL || $password2 == NULL || $nombre == NULL || $apellido == NULL || $email == NULL) { 
         
        echo 'Un campo está vacio.'; 
        mostrar(); 
     
    } else { 
         
        // ¿Coinciden las contraseñas? 
        if($password != $password2) { 
             
            echo 'Las contraseñas no coinciden'; 
            mostrar(); 
         
        } else { 
             
            // Comprobamos si el nombre de usuario o la cuenta de correo ya existían 
            $checkuser = mysql_query("SELECT usuario FROM usuarios WHERE usuario='$username'"); 
            $username_exist = mysql_num_rows($checkuser); 
            $checkemail = mysql_query("SELECT email FROM usuarios WHERE email='$email'"); 
            $email_exist = mysql_num_rows($checkemail); 
             
            if ($email_exist > 0 || $username_exist > 0) { 
                 
                echo 'El nombre de usuario o la cuenta de correo estan ya en uso'; 
                mostrar(); 
                 
            } else { 
                 
                $query = 'INSERT INTO usuarios (usuario, password, nombre, apellido, email, fecha) 
                VALUES (\''.$username.'\',\''.$pass.'\',\''.$nombre.'\',\''.$apellido.'\',\''.$email.'\',\''.date("d-m-Y").'\')'; 
                mysql_query($query) or die ('Ha fallado la entrada de datos'); // Si falla nos avisa. 
                echo 'El usuario '.$username.' ha sido registrado de manera satisfactoria.<br />'; 
                echo 'Ahora puede entrar ingresando su usuario y su password <br />'; 
                mostrar1(); 
                ?> 
                 
                <?php 
            } 
        } 
    } 
     
} else { 
     
    mostrar(); 
 
} 
 
?>

PD.: Con el code un poco más desplegado se hace más sencilla la lectura.

gonzaloaedo · #11 (**permalink**) 20/06/2011, 09:54

Cita:

Iniciado por Uncontroled_Duck

No puedes ir pegando código y poniendo donde quede más bonito.

Código PHP:

  if(sha1($password) == $passwordDB) {

Esta línea es para hacer una comparación entre dos contraseñas, la que hay en la DB y la que mandas con el form de validación.

Y para eso debe haber antes una consulta donde saques esos datos de la DB y lo pongas en la variable $passwordDB... Si no es como intentar mandar un mail con un donuts, por mucho que lo intentes, no va a salir nada.

Otra cosa, intenta comparar los códigos, ver los cambios e intentar comprender como funciona.

A ver, con esto debería valer:

Código PHP:

 
// Aquí van las funciones que tienes.
<?php
 
// verificamos si se han enviado ya las variables necesarias.
if (isset($_POST['username']) && isset($_POST['password'])) {

    $username    = $_POST['username'];
    $password    = $_POST['password'];
    $password2    = $_POST['password2'];
    $nombre        = $_POST['nombre'];
    $apellido    = $_POST['apellido'];
    $email        = $_POST['email'];
    
    $cadena = '478@€shdk%%';
    $pass     = sha1($password); // Encriptas la contraseña
    
    // Hay campos en blanco
    if($username == NULL || $password == NULL || $password2 == NULL || $nombre == NULL || $apellido == NULL || $email == NULL) {
        
        echo 'Un campo está vacio.';
        mostrar();
    
    } else {
        
        // ¿Coinciden las contraseñas?
        if($password != $password2) {
            
            echo 'Las contraseñas no coinciden';
            mostrar();
        
        } else {
            
            // Comprobamos si el nombre de usuario o la cuenta de correo ya existían
            $checkuser = mysql_query("SELECT usuario FROM usuarios WHERE usuario='$username'");
            $username_exist = mysql_num_rows($checkuser);
            $checkemail = mysql_query("SELECT email FROM usuarios WHERE email='$email'");
            $email_exist = mysql_num_rows($checkemail);
            
            if ($email_exist > 0 || $username_exist > 0) {
                
                echo 'El nombre de usuario o la cuenta de correo estan ya en uso';
                mostrar();
                
            } else {
                
                $query = 'INSERT INTO usuarios (usuario, password, nombre, apellido, email, fecha)
                VALUES (\''.$username.'\',\''.$pass.'\',\''.$nombre.'\',\''.$apellido.'\',\''.$email.'\',\''.date("d-m-Y").'\')';
                mysql_query($query) or die ('Ha fallado la entrada de datos'); // Si falla nos avisa.
                echo 'El usuario '.$username.' ha sido registrado de manera satisfactoria.<br />';
                echo 'Ahora puede entrar ingresando su usuario y su password <br />';
                mostrar1();
                ?>
                
                <?php
            }
        }
    }
    
} else {
    
    mostrar();

}

?>

PD.: Con el code un poco más desplegado se hace más sencilla la lectura.

primero que todo agradezco mucho tu voluntad...

ahora si puedo ver el formulario de registro en el browser, hago el registro de usuario y lo registra perfecto con la contraseña encriptada :) yijuuuu!!!
------------------------------------------------------------------------------------------------------------------
aquí esta lo que mencionabas antes,
"

Código PHP:

  if(sha1($password) == $passwordDB) {

Esta línea es para hacer una comparación entre dos contraseñas, la que hay en la DB y la que mandas con el form de validación."

me quedo algo así

Código PHP:

  <?php
       mysql_connect('localhost','xxxxxxxx','xxxxxxxx');
       mysql_select_db("xxxxxxxx");
       $usuario = strtolower($_POST["usuario"]);
       $password = $_POST["password"];
    if($usuario!= "" && $password!= "")
{
    $sql = mysql_query('SELECT password, usuario FROM usuarios WHERE usuario="'.$usuario.'"');
    if($f= mysql_fetch_array($sql)) {
    // Aquí pegue la línea que hace la comparación entre dos contraseñas.
    if(sha1($password) == $passwordDB) { 
       $_SESSION["k_username"] = $f['usuario'];
            echo 'Has sido logueado correctamente '.$_SESSION['k_username'].' <p>';
            echo '<a href="XXXXX.php">Entrar a XXXXXXX</a></p>';
        
          }else{
            echo 'Contraseña incorrecta';
            echo '<a href="index.php">Inicio</a></p>';
        }
          }else{
            echo 'Usuario no existente en la base de datos ';
            echo '<a href="index.php">Inicio</a></p>';
    }
    
}

?>

nuevamente gracias por tu ayuda

Uncontroled_Duck · #12 (**permalink**) 20/06/2011, 12:13

Me alegra que te funcione bien.

Ahora si me cuadra más el tema de la comparación, en el otro code, al ver las variables sin consulta antes, no tenía sentido.

Pues listo, a seguir programando y aprendiendo.

Saludos,

gonzaloaedo · #13 (**permalink**) 22/06/2011, 09:39

Hola otra vez

Resulta que ya subí el archivo de validación, al loguearme me dice que la Contraseña es incorrecta, no se en que podre estar fallando nuevamente

Código PHP:

  <?php 
       mysql_connect('localhost','xxxxxxxx','xxxxxxxx'); 
       mysql_select_db("xxxxxxxx"); 
       $usuario = strtolower($_POST["usuario"]); 
       $password = $_POST["password"]; 
    if($usuario!= "" && $password!= "") 
{ 
    $sql = mysql_query('SELECT password, usuario FROM usuarios WHERE usuario="'.$usuario.'"'); 
    if($f= mysql_fetch_array($sql)) { 
    // Aquí pegue la línea que hace la comparación entre dos contraseñas. 
    if(sha1($password) == $passwordDB) {  
       $_SESSION["k_username"] = $f['usuario']; 
            echo 'Has sido logueado correctamente '.$_SESSION['k_username'].' <p>'; 
            echo '<a href="XXXXX.php">Entrar a XXXXXXX</a></p>'; 
         
          }else{ 
            echo 'Contraseña incorrecta'; 
            echo '<a href="index.php">Inicio</a></p>'; 
        } 
          }else{ 
            echo 'Usuario no existente en la base de datos '; 
            echo '<a href="index.php">Inicio</a></p>'; 
    } 
     
} 
 
?>

nuevamente muchas gracias amigo