[SOLUCIONADO] No me mantiene las sesiones

NueveReinas · #1 (**permalink**) 23/03/2015, 11:54

Hola de nuevo...

Esta vez estoy intentando que los usuarios que hayan perdido/olvidado la contraseña puedo recuperarla.

Para eso, se dirigen a esta página:

recuperar.php

Código HTML:

Ver original<body>
<?php
//Esto destruye cualquier sesión anterior.
session_start();
session_destroy();
session_start();
?>
<div align="center">
    <form method="POST" action="recuperacion.php" />
    
    <p>Si has perdido o no recuerdas tu contraseña, podrás establecer una nueva.</p>
    
            <label>Email asociado a la cuenta</label>
            <input type="email" name="email" id="email" maxlength="50" size="30" required/>
            
            <input type="submit" name="submit" value="Siguiente" class="btn" >
            
    </form>
<p><a href="http://www.ejemplo.com/BD/registro" target="_self">Registrarse</a> | <a href="http://www.ejemplo.com/BD/entrar" target="_self">Entrar</a></p>
</body>

En ese formulario, escriben el mail asociado con la cuenta.

Cuando cliqueen en "Siguiente", los lleva a:

recuperacion.php

Código PHP:

Ver original<?php 
session_start();
 
// Carga la configuración 
$config = parse_ini_file('config.ini');  
 
// Conexión con los datos del 'config.ini' 
$connection = mysqli_connect('localhost',$config['username'],$config['password'],$config['dbname']); 
 
// Si la conexión falla, aparece el error 
if($connection === false) { 
    return mysqli_connect_error(); 
}
 
$email = $_POST['email'];
$_SESSION['email'] = $email; //guarda el email en una variable de session para recuperarlo en el siguiente form 
 
$noreg = "";
$mensaje = "";
 
// Genera una clave aleatoria 
        function generate_random_key() { 
            $chars = "abcdefghijklmnopqrstuvwxyz123456789"; 
            $new_key = ""; 
            for ($i = 5; $i < 32; $i++) { 
                $new_key .= $chars[rand(5,35)]; 
            } 
            return $new_key; 
        };//Final de la funcion 
 
        $random_key = generate_random_key();
 
if(isset($_POST['email']) ) {  //comprobamos que el campo email trae algun valor 
 
    $query   = "SELECT * FROM usuarios WHERE email='$email'";  //seleccionamos la informacion de la BD correspondiente al email del user 
    $result = mysqli_query($connection , $query) or die ( mysql_error() ); 
    
    while ($row = mysqli_fetch_array($result)) {
        
    if (($row['password']) == TRUE) {  //compruebo que exista el password del email enviado 
        //$_SESSION['email'] = $row['email'];  //guardamos el usuario en una variable de sesion 
        $mensajehtml = "Se le ha enviado un e-mail con los datos necesarios para crear una nueva contraseña. ";
        
        //Si está correcto, entonces envía el mail
        
        // Datos del email 
 
$nombre_origen    = "NueveReinas"; 
$email_origen     = "[email protected]"; 
$email_copia      = "[email protected]"; 
$email_ocultos    = "[email protected]"; 
$email_destino    = "".$email."";
 
$asunto = "Nueva contraseña"; 
 
$mensaje = '
Hola, recientemente has pedido una nueva contraseña para XXX. <br>
<br>
Para poder crear una nueva contraseña entra en el siguiente enlace: <br>
<br>
<strong>http://www.ejemplo.com/BD/recuperar_2.php?activation='.$random_key.'</strong><br>
<br>
Si no podés entrar haciendo click, copialo y pegalo en la barra del navegador.<br>
<br>
Gracias.
'; 
 
$formato = "html"; 
 
//*****************************************************************// 
$headers  = "From: $nombre_origen <$email_origen> \r\n";
$headers .= "X-Priority: 3 \r\n"; 
$headers .= "MIME-Version: 1.0 \r\n"; 
$headers .= "Content-Transfer-Encoding: 7bit \r\n"; 
//*****************************************************************// 
  
if($formato == "html") 
 { $headers .= "Content-Type: text/html; charset=iso-8859-1 \r\n";  } 
   else 
    { $headers .= "Content-Type: text/plain; charset=iso-8859-1 \r\n";  } 
 
if (@mail($email_destino, $asunto, $mensaje, $headers))  
{ };
        
    }
 
};
        
    }
else {
        $mensajehtml = "El email no esta registrado en nuestra base de datos.";  //si no existe ese mail...
        //session_destroy();
        //$connection->close();
};
           
?>

Aquí genera una clave aleatoria que se comprueba después, revisa que el FORM anterior no esté vacío, y entonces envía un mail al $POST proporcionado del tipo

Código:

http://www.ejemplo.com/BD/recuperar_2.php?activation=tu8i59i5pxwn2d5figjhtso64m

Entonces, al hacer click, les lleva a:

recuperar_2.php

Código HTML:

Ver original<body>
<?php 
session_start();
$email = $_SESSION['email']; 
?>
<div align="center">
<form method="POST" action="recuperacion-segura" />
            <label>Nueva contraseña</label>
            <input type="password" name="password" id="password" minlength="6" required />
            <label>Confirmar nueva contraseña</label>
            <input type="password" name="password2" id="password2" minlength="6" required />
            <input type="submit" name="btn" class="btn" value="Enviar"/>
    </form>
    <p>EMAIL: <?php echo $email ?></p>
</div>
</body>

Y acá empiezan los problemas. No me toma la sesión de la variable $email.

Por último, ese formulario lleva al usuario a:

recuperacion-segura

Código PHP:

Ver original<?php 
session_start();
 
// Carga la configuración 
$config = parse_ini_file('config.ini');  
 
// Conexión con los datos del 'config.ini' 
$connection = mysqli_connect('localhost',$config['username'],$config['password'],$config['dbname']); 
 
// Si la conexión falla, aparece el error 
if($connection === false) { 
    return mysqli_connect_error(); 
}
 
$_SESSION['email'] = $email; //Obtenemos la variable se sesion
 
$activation_key = $_GET["activation"]; //Obtenemos la clave del email
 
//$noreg = "";
$titulo = "";
 
$dbh = $connection;
// Busca la entrada en la tabla de usuarios para la clave de activación recibida
$stm = $dbh->prepare("SELECT count(1) FROM usuarios WHERE activation_key=?"); //=?
/*$stm->bind_param("s",$activation_key);*/
$stm->bind_result($total);
$stm->execute();
$stm->fetch();
$stm->close();
 
if ($total == 1) { // Si se ha encontrado...
   $password = $_POST["password"]; //variable que viene del campo del form pasword 
   $password2 = $_POST["password2"];//variable que viene del campo del form pasword2 
 
if (isset($_POST["password"])) { 
     
    $password = $_POST["password"]; //variable que viene del campo del form pasword 
    $password2 = $_POST["password2"];//variable que viene del campo del form pasword2 
 
    /*$password = md5($password); // codificamos los password con md5 
    $password2 = md5($password2); */
    //$email = $_SESSION['email']; // recogemos la variable email y username que guardamos en la sesion en el script anterior 
 
// Hay campos en blanco 
if($password==NULL|$password2==NULL) {
    $error = "Un campo o ambos campos están vacíos.";
    $titulo = "Error";
}
else {  
    // ¿Coinciden las contraseñas? 
    if($password!=$password2) {
        $error = "Las contraseñas no coinciden. Por favor, inténtelo de nuevo. <br>";
        $titulo = "Error";
}
else { 
 
$password_cifrada = crypt($password);
$query = "UPDATE usuarios SET password='$password_cifrada' WHERE email='$email' ";
mysqli_query($connection, $query) or die(mysql_error());     
 
/*                 
//obtengo los datos del usuario para mandar el email     
$result = "SELECT * FROM usuarios WHERE password='$password' "; 
$result = mysqli_query($connection,$result) or die ( mysql_error() );         
$row = mysqli_fetch_array($result);  
*/
 
$titulo = "Nueva contraseña asignada";       
$hecho = 'Nueva contraseña asignada a '.$email.'<br><br>
Ya puedes <a href="http://www.ejemplo.com/BD/entrar" target="_self">entrar</a>.';
 
//session_destroy();
 
/////////////////////////////////////////////////
 
// Datos del email 
 
$nombre_origen    = "NueveReinas"; 
$email_origen     = "[email protected]"; 
$email_copia      = "[email protected]"; 
$email_ocultos    = "[email protected]"; 
$email_destino    = "".$email."";
 
$asunto = "Tu nueva contraseña"; 
 
$mensaje = '
Hola, recientemente has creado una nueva contraseña para XXX. <br>
<br>
Esa contraseña es: <strong>'.$password.'</strong>'; 
 
$formato = "html"; 
 
//*****************************************************************// 
$headers  = "From: $nombre_origen <$email_origen> \r\n";
$headers .= "X-Priority: 3 \r\n"; 
$headers .= "MIME-Version: 1.0 \r\n"; 
$headers .= "Content-Transfer-Encoding: 7bit \r\n"; 
//*****************************************************************// 
  
if($formato == "html") 
 { $headers .= "Content-Type: text/html; charset=iso-8859-1 \r\n";  } 
   else 
    { $headers .= "Content-Type: text/plain; charset=iso-8859-1 \r\n";  } 
 
if (@mail($email_destino, $asunto, $mensaje, $headers))  
{ };
        
    }
 
};
 
/////////////////////////////////////////////////
 
}
};
           
?>

<body>
<div align="center">

<div class="cuadro">
<p><?php echo $noreg ?></p>
<p><?php echo $error ?></p>
<p><?php echo $hecho ?></p>
<p>EMAIL: <?php echo $email ?></p>
</div>

</div>
</body>

Bien, se que es complicado, pero no termina de agarrar la sesión. En ningún momento, más allá de en el inicio, destruyo ninguna sesión.

Se pierde la variable entre el link del mail y recuperar_2.php.

pateketrueke · #2 (**permalink**) 23/03/2015, 12:04

¿Qué parte de "la llamada a session_start() debe ser en la primera linea" no has entendido aún?

Entiende que esto que haces está mal:

Código PHP:

Ver original<body>
<?php session_start();

Antes de llamar dicha función ya hay HTML y eso arruina todo.

Por favor, vuelve a leer el manual hasta que lo comprendas.

NueveReinas · #3 (**permalink**) 23/03/2015, 13:24

Cita:

Iniciado por pateketrueke

¿Qué parte de "la llamada a session_start() debe ser en la primera linea" no has entendido aún?

Entiende que esto que haces está mal:

Código PHP:

Ver original<body>
<?php session_start();

Antes de llamar dicha función ya hay HTML y eso arruina todo.

Por favor, vuelve a leer el manual hasta que lo comprendas.

Entendido, ahora sí. Puse todas los inicios de sesión entre <head> y </head>
Pero mi problema persiste.

Hice una simplificación de qué pasa.

recuperar.php

Código PHP:

Ver original<?php
session_start();
session_destroy();
session_start();
?>

recuperacion.php

Código PHP:

Ver original<?php 
session_start();
 
$email = $_POST['email'];
$_SESSION['email'] = $email;
?>

recuperar_2.php

Código PHP:

Ver original<?php 
session_start();
$email = $_SESSION['email'];
?>

E intento que me muestre el mail de la sesión en HTML.
Pero no lo hace.

Código HTML:

Ver original<p>EMAIL: <?php echo $email ?></p>

recuperacion-segura.php

Código PHP:

Ver original<?php 
session_start();
$email = $_SESSION['email'];
?>

Y de nuevo trato de ver la variable en HTML.

Código HTML:

Ver original<p>EMAIL: <?php echo $email ?></p>

El problema es ese. Desde el mail con el link, por ejemplo:

Código:

http://www.ejemplo.com/BD/recuperar_2.php?activation=36nhu2s5dklgfhu8o5jvg27f3jp

Ya no me muestra en HTML la variable de la sesión.

pateketrueke · #4 (**permalink**) 23/03/2015, 15:19

Cita:

Puse todas los inicios de sesión entre <head> y </head>

Y sigues sin entender el problema.

No es que debas colocar session_start() antes del body, ni mucho menos dentro del head, es una instrucción de PHP que debes colocar antes que cualquier cosa: texto, html, etc.

NueveReinas · #5 (**permalink**) 23/03/2015, 15:21

Cita:

Iniciado por pateketrueke

Y sigues sin entender el problema.

No es que debas colocar session_start() antes del body, ni mucho menos dentro del head, es una instrucción de PHP que debes colocar antes que cualquier cosa: texto, html, etc.

Entonces, ¿va pre-doctype o algo así?

pateketrueke · #6 (**permalink**) 23/03/2015, 15:24

Cita:

Iniciado por NueveReinas

Entonces, ¿va pre-doctype o algo así?

Antes de todo.

Ni siquiera pienses en HTML, porque eso te confunde más.

Primero debes aprender cómo funciona HTTP, básicamente se trata de cabeceras y cuerpo.

En las cabeceras va información como las cookies que son utilizadas para la sesión, y claro, en el cuerpo puede ir cualquier cosa: datos binarios, html, json, etc.

El tema es que session_start() debe usarse antes de comenzar a enviar el cuerpo de la petición.

¿Ya se entiende mejor?

NueveReinas · #7 (**permalink**) 23/03/2015, 15:29

Cita:

Iniciado por pateketrueke

Antes de todo.

Ni siquiera pienses en HTML, porque eso te confunde más.

Primero debes aprender cómo funciona HTTP, básicamente se trata de cabeceras y cuerpo.

En las cabeceras va información como las cookies que son utilizadas para la sesión, y claro, en el cuerpo puede ir cualquier cosa: datos binarios, html, json, etc.

El tema es que session_start() debe usarse antes de comenzar a enviar el cuerpo de la petición.

¿Ya se entiende mejor?

Se entiende.

Ahora, creo que mi problema está a la hora de llamar a las sesiones/variables.

Te agradecería que revises el tercer post y me digas si están correctas las conexiones.

Gracias.

MaNuX0218 · #8 (**permalink**) 24/03/2015, 03:17

Lo que tienes que hacer es plantearlo mejor por que no aria falta crear tantos archivos php para lo que quieres conseguir.

Sobre la session_start(), solo tienes que añadirla al principio UNA SOLA VEZ.

Saludos.

NueveReinas · #9 (**permalink**) 24/03/2015, 12:02

Cita:

Iniciado por MaNuX0218

Lo que tienes que hacer es plantearlo mejor por que no aria falta crear tantos archivos php para lo que quieres conseguir.

Sobre la session_start(), solo tienes que añadirla al principio UNA SOLA VEZ.

Saludos.

Si te refieres a esto:

Código PHP:

Ver original<?php
session_start();
session_destroy();
session_start();
?>

Es para destruir cualquier sesión anterior, y si no existe, crea una nueva, la destruye y después crea otra nueva, y con esa sigue.

hhs · #10 (**permalink**) 24/03/2015, 12:33

El problema real es como concebiste la idea de recuperación de la contraseña.
La sesión ya no es recuperable desde un vinculo externo, es decir el usuario cuando utiliza la url solo esta enviando el código que le proporcionas a recuperar2.php.
Lo que debes de hacer es crear una tabla donde guardes el correo y el código generado y cuando recibas el código compruebas que sea el correspondiente al email que solicito el cambio.

NueveReinas · #11 (**permalink**) 24/03/2015, 12:37

Cita:

Iniciado por hhs

El problema real es como concebiste la idea de recuperación de la contraseña.
La sesión ya no es recuperable desde un vinculo externo, es decir el usuario cuando utiliza la url solo esta enviando el código que le proporcionas a recuperar2.php.
Lo que debes de hacer es crear una tabla donde guardes el correo y el código generado y cuando recibas el código compruebas que sea el correspondiente al email que solicito el cambio.

Es curioso, porque hace unos días me funcionaba. Luego me puse a cambiar cosas y no se qué toqué pero dejó de funcionar correctamente.

O sea, he conseguido re-editar contraseñas con ese método en el pasado.

¿Es posible que ese código generado se guarde de manera temporal en la base de datos?
Que expire, por ejemplo, después de 1 hora.

hhs · #12 (**permalink**) 24/03/2015, 12:50

Cita:

¿Es posible que ese código generado se guarde de manera temporal en la base de datos?

La forma regular es que guardes el código junto con el email en una tabla para comprobarlo con fecha de creación para que puedas expirar la clave despues de cierto tiempo. nunca he tenido que compartir la session.

NueveReinas · #13 (**permalink**) 24/03/2015, 13:19

Cita:

Iniciado por hhs

La forma regular es que guardes el código junto con el email en una tabla para comprobarlo con fecha de creación para que puedas expirar la clave despues de cierto tiempo. nunca he tenido que compartir la session.

¿Para qué guardar el email si ese email es el mismo que el de registro? Por lo tanto, ya está en la DB...

Mi duda es, ¿cómo expiro la clave después de cierto tiempo?

hhs · #14 (**permalink**) 24/03/2015, 14:51

Cita:

Iniciado por NueveReinas

¿Para qué guardar el email si ese email es el mismo que el de registro? Por lo tanto, ya está en la DB...

Mi duda es, ¿cómo expiro la clave después de cierto tiempo?

Cuando me refiero al email es que tengas una referencia al registro donde esta, en otras palabras su id, si no lo tienes no puedes tener una referencia de a quien le vas a cambiar la contraseña.

Cita:

Mi duda es, ¿cómo expiro la clave después de cierto tiempo?

Te suena DateTime o TimeStamp en la base de datos ?

NueveReinas · #15 (**permalink**) 24/03/2015, 14:56

Cita:

Iniciado por hhs

Cuando me refiero al email es que tengas una referencia al registro donde esta, en otras palabras su id

No entiendo.

Cita:

Iniciado por hhs

Te suena DateTime o TimeStamp en la base de datos ?

No, no le he usado.
Entonces, ¿tendría que comprobar si ha pasado más de 1 hora (por ejemplo) desde que se ingresó el código de verificación y asignarle un 0? ¿O cómo?

hhs · #16 (**permalink**) 24/03/2015, 15:10

Ya tienes la idea, como lo implementes depende de ti.
En google encontraras mas información.

NueveReinas · #17 (**permalink**) 24/03/2015, 15:17

Cita:

Iniciado por hhs

Ya tienes la idea, como lo implementes depende de ti.
En google encontraras mas información.

No veo de qué sirve pedir ayuda en un foro, en la categoría PHP, para que me envíen a Google...

pateketrueke · #18 (**permalink**) 24/03/2015, 16:07

Cita:

Iniciado por NueveReinas

No veo de qué sirve pedir ayuda en un foro, en la categoría PHP, para que me envíen a Google...

Yo he visto muchos temas que hablan sobre sesiones en el foro de PHP desde hace años.

No veo de qué sirve abrir un tema sin antes investigar al respecto.

NueveReinas · #19 (**permalink**) 24/03/2015, 16:19

Cita:

Iniciado por pateketrueke

Yo he visto muchos temas que hablan sobre sesiones en el foro de PHP desde hace años.

No veo de qué sirve abrir un tema sin antes investigar al respecto.

Porque este es un caso en concreto.

De todas formas estoy modificando la forma en la cual se hará la recuperación de la contraseña, así que gracias.

pateketrueke · #20 (**permalink**) 24/03/2015, 16:29

Cita:

Porque este es un caso en concreto.

¿Qué tanto?

Es decir, si estás re-inventando la rueda es obvio que tendrás problemas si no tienes la certeza de cómo funcionan las cosas.

¿Entonces qué tiene de malo usar algo ya hecho?

El mecanismo de recuperar contraseña es tan común que de verdad me sorprende que no hayas encontrado algo igual antes.

Casi puedo apostarlo.