Sesiones seguras!!!

Mi cuestion es saber como realizar de forma segura y sin fallas, SESSIONES con o sin BD pero seguras al fin, como realizarlas lo
más eficaz posible?.

parte de código:

1.php

<?php

$usuario=$HTTP_POST_VARS['usuario'];
$password=$HTTP_POST_VARS['password'];

$rs_1=mysql_query("select * usuarios where usuario='$usuario' and password='$password')", $conn);
$res=mysql_fetch_assoc($rs_1);

//inicio la session
session_start();

if($usuario==true){
$_SESSION['nombreusuario']=$usuario;
}

?>


2.php

<?php
session_start();
if (isset($_SESSION['nombreusuario'])){
include_once("control.php");//este archivo verifica el tiempo inactivo en seg. del us
//si se supera el limite el else es true
}
else{
header("Location:index.php");
die();
}

?>

Gracias y saludos!!!

Hola webdesignsite!!! Còmo vas??

Pues realmente el còdigo que pones es el de inicio de sesiòn, y caulquiera de las dos dos formas es aceptable... Preguntar que se ha iniciado sesiòn y pues dependiendo realice ciertas acciones.

Lo que te quiero decir, es que comenzar una sesiòn, inicializarla pues es solo una parte de lo que require seguridad en sesiones... Realmente es seguridad lo que preguntas?? O preguntas cuàl de estas formas de iniciar session es la mejor??

En caso de que sea la ùltima, para mi, no hay rollo con eso, cualquier cumpliría su funciòn...

Saludos

Carxl, cual seria el proximo paso a agregar para mas seguridad ?

Saludos
Andres

En general, para evitar "session fixation" es recomendable ejecutar session_regenerate_id() al momento de cambiarle los permisos al usuario.

Hola Andruqui, còmo vas??

Pues te doy dos datos mas:

1. Cerrár la sesiòn por inactividad. No creo que tenga que explicar que puede pasar si llegas a dejar tu sessiòn abierta sin saberlo!!!

2. Mas que todo utilizada en aplicaciones financieras, no permitir mas de un inicio de sesiòn con el mismo usuario, es decir, sòlo poder iniciar sesiòn una vez al tiempo. Esto se hace adquiriendo la ip del usuario y con su respectiva sesión.

Esas serían, las que he utilizado y las que me han servido

Saludos

Yo inicio la session haciendo un login con usuario y password consultando en una BD, si es ok entonces luego defino SESSION con $_SESSION['us']=$usuario y luego lo envio a otra pagina con header("Location:otra.php"), mientras tanto un include_once("ctrol.php") controla que el usuario logeado mientras se mueve en el sitio no se le expire el tiempo maximo en seg. de inactividad en el sitio.

Creo que esta logica es bastante acertada, no?

Pero si tenés un ej. para ampliar será bienvenido!!!


Saludos!!!

Hola de nuevo webdesignsite!!

Claro, todo lo que sea para aportar a la seguridad de tu site y de tus usuarios está bien y pues, si ya tienes un código que "rastrea" la actividad del usuario... creo que no hace falta el mìo

Saludos

Buenas, yo hago lo mismo que webdesignsite, y estoy de acuerdo con Carlx que para sites financieros, de compras etc, si se le agrega algo mas mejor.

Saludos
Andres

Para ampliar el tema digo que también se puede ejecutar un "cron" c/x minutos, en donde el archivo a ejecutar sea de control de actividad del usuario logeado, como dije mas arriba, si el usuario supero x tiempo inactivo se dara de baja el logeo de ese usuario, la diferencia a lo dicho anteriormente es que con el "cron" no es necesario que usuario se mueva por el sitio para controlarlo ya que con este metodo el archivo se ejecuta automaticamente.


Saludos!!!