Sistema de autenticación seguro???

Cota_Isla · #1 (**permalink**) 15/02/2013, 12:05

Buenas, estoy realizando mi primera aplicación web e implementando un sistema de autenticación para un usuario único, me surge la duda si es seguro o no, si alguien me puede comentar los fallos y ayudarme, ya que posteriormente esta aplicación se implantará en una empresa.
El código es el siguiente:
-- Login.php:

Código PHP:

 
<section> 
            <div id="registro"> 
                <h3>Acceso Administrador</h3> 
                <? 
                if($_GET) 
                { 
                    ?> 
                    <div id="error"> 
                        ERROR        <!--   MODIFICAR--> 
                    </div> 
                    <? 
                } 
                ?> 
                <form method="post" action="control.php"> 
                    <div id="us"> 
                        <b>Usuario:</b> 
                        <br> 
                        <input type="text" name="user" autocomplete="off"> 
                    </div> 
                    <div id="pwd"> 
                        <b>Contraseña:</b> 
                        <br> 
                        <input type="password" name="passwd"> 
                    </div> 
                    <input type="submit" value="Entrar"> 
                </form> 
            </div> 
        </section>

-- control.php:

Código PHP:

  <? 
$us = $_POST["user"]; 
$pwd = sha1($_POST["passwd"]); 
$pass = "3d0f3b9ddcacec30c4008c5e030e6c13a478cb4f";//daniel 
 
 
if($us=="carlos" AND $pwd==$pass AND $_SESSION["nus"]==0) 
{ 
    session_start(); 
    $_SESSION["login"]= true; 
    $_SESSION["nus"] = 1; 
    $_SESSION["nom"] = "jefe"; 
    header ("Location: menu-config.php");     
} 
else 
{ 
    header("Location: login.php?error=1");  
}  
?>

--seguridad.php:

Código PHP:

  <?  
session_start();  
  
if ($_SESSION["login"] != true) 
{ 
    header("Location: login.php"); 
    exit();  
}     
?>

-logout.php:

Código PHP:

  <? 
session_start();  
session_destroy();  
header("Location: login.php"); 
?>

Esos son los distinto ficheros que he creado, usando codificación sha1, al ser de un único usuario no he usado una tabla en la base de datos.
Espero vuestros comentarios.
Muchas gracias de antemano.
Un saludo.

Patriarka · #2 (**permalink**) 15/02/2013, 12:12

un consejito es que validar los variables definidas
ej:

$us = (isset($_POST["user"] && !empty($_POST["user"])) ? $_POST["user"] : "";

$login = (isset($_SESSION["login"] && !empty($_SESSION["login"])) ? $_SESSION["login"]: "";

Cota_Isla · #3 (**permalink**) 15/02/2013, 12:18

Perdona mi ignorancia, pero tengo confusiones en los condicionales esos, si no te importas explicármelos, te lo agradecería.
Muchas gracias!

cesar_viridi · #4 (**permalink**) 15/02/2013, 12:28

A esa validacion seria algo asi

codigo original

Código PHP:

Ver original$us = (isset($_POST["user"] && !empty($_POST["user"])) ? $_POST["user"] : "";

Explicado

isset($_POST["user"] // Existe esta varible que viene en post
!empty($_POST["user"] // y que esta varible no venga vacia

Saludos...

Cota_Isla · #5 (**permalink**) 15/02/2013, 12:52

Según he leído, con isset bastaría no? porque isset comprueba si la variable está definida y no es null, es decir, no esta vacía que es lo que hace !empty.
No se si me he explicado.
Muchas gracias! Cualquier sugerencia más me sería util.
Un saludo.