Ayuda con sessiones( es seguro esto?)

diegomel · #1 (**permalink**) 02/07/2009, 18:57

Hola a todos, necesito la ayuda de alguien que sepa bien el tema de sessiones .
Resulta que yo tengo un login que saque del foro este y modifique un poco en cual dice lo siguiente.

Código PHP:

  $query = mysql_query("SELECT username,password,nombre,apellido FROM users WHERE username = '$username'") or die(mysql_error());  
$data = mysql_fetch_array($query);  
if($data['password'] != $password) {  
 
$iderr = 2; 
 
}else{  
$_SESSION["s_username"] = $data['username']; 
$_SESSION["s_nombre"] = $data['nombre']; 
$_SESSION["s_apellido"] = $data['apellido']; 
mysql_free_result($query); 
$login = mysql_query("insert into login (username,fecha,hora,ip) values ('$username','$fecha','$hora','$ip')") or die(mysql_error()); 
header("location:inicio.php");

ahora en todas las paginas donde quiero limitar la entrada de quien no este logeado tengo.

if (isset($_SESSION['s_username'])){

que vea la paginaç

}else{
no tienes permiso.

mi pregunta es? es seguro esto puesto asi osea que si existe la $_session que vea la pagina sino no? , no hay forma de que creen session y entren igual o de alguna manera? y en el login hay forma de mejorar la seguridad? ( la clave la tengo encrytada con md5).

Desde ya muchas gracias a quien pueda ayudarme con este tema.

wpersei · #2 (**permalink**) 02/07/2009, 19:04

La verdad es que yo he visto eso en varias aplicaciones y no se me ocurre una forma de burlar eso ya que esas variables se encuentran del lado del servidor y el usuario externo no puede acceder facilmente a esas variables, lo preocupante es cuando se utilizan cookies que se almacenan en la cache del cliente

pero tranquilamente te podria decir que es seguro hacer eso

saludos

diegomel · #3 (**permalink**) 02/07/2009, 19:29

gracias por la respuestas, si alguien mas puede opinar sobre esto le agradeceria. otra cosa, vi que usan para encryptarr sh1(md5($variable)) o algo asi yo estoy usando solo md5, es mas seguro usar esas 2 encryptaciones o es lo mismo?
Gracias de nuevo.

acoevil · #4 (**permalink**) 02/07/2009, 19:31

Um lo que haces en averiguar en cada pagina si existe o no existe la session hace que la aplicacion no se a flexible a cambios, puedes buscar sobre creacion de webs modulares.

Por otra parte valida la informacion que recibes del usuario, busca sobre mysql_real_escape_string()

Salu2

acoevil · #5 (**permalink**) 02/07/2009, 19:32

con solo utilizar md5 es suficiente.

diegomel · #6 (**permalink**) 02/07/2009, 19:39

Cita:

Iniciado por acoevil

Um lo que haces en averiguar en cada pagina si existe o no existe la session hace que la aplicacion no se a flexible a cambios, puedes buscar sobre creacion de webs modulares.

Por otra parte valida la informacion que recibes del usuario, busca sobre mysql_real_escape_string()

Salu2

LAs variables las tengo validadas de esta manera

// To protect MySQL injection
$username = stripslashes($username);
$username = mysql_real_escape_string($username);
$username = strip_tags($username);
$username = htmlspecialchars($username);
$password = stripslashes($password);
$password = strip_tags($password);
$password = htmlspecialchars($password);
$password = mysql_real_escape_string($password);

ahora como es eso de puedes buscar sobre creacion de webs modulares.
? no entendi que quiere decir.

mi otra pregunta es que si simplemente lo que verifico es que conincidan los password de 1 usuario de esta forma if($data['password'] != $password) {
es seguro o si hay alguna forma de hacerlo mas robusta la comprobacion.
gracias.

acoevil · #7 (**permalink**) 02/07/2009, 19:48

Código PHP:

  $existencia = mysql_query("SELECT * FROM USUARIOS where login='" . $usuario . "' and password='" . $password . "' limit 1");
if ( mysql_num_rows($existencia) >0 ) {
    
    //logueo
} else {
    
    // Mensaje error -> no logueo
}

lo de webs modulares puedes encontrar mas informacion en google http://www.google.com/search?q=web%20modular+php o en el buscador del foro ya que se a tratado mucho.

diegomel · #8 (**permalink**) 02/07/2009, 19:56

Cita:

Iniciado por acoevil

Código PHP:

  $existencia = mysql_query("SELECT * FROM USUARIOS where login='" . $usuario . "' and password='" . $password . "' limit 1"); 
if ( mysql_num_rows($existencia) >0 ) { 
     
    //logueo 
} else { 
     
    // Mensaje error -> no logueo 
}

lo de webs modulares puedes encontrar mas informacion en google http://www.google.com/search?q=web%20modular+php o en el buscador del foro ya que se a tratado mucho.

Ahora busco lo de modular gracias, vos decis que ese tipo de verificacion es mas segura que la de verificar el password como tengo yo? si es asi me podrias decir la razon si no es molestia?
muchas gracias y disculpen por tantas preguntas..

acoevil · #9 (**permalink**) 02/07/2009, 20:00

Q tal solo te puse el codigo para que lo verificaras y compararas , te sugiero este codigo ya que puede ser mas flexible que el tuyo, encuanto a seguridad es igual ( que alguien me corrija si estoy mal ).