Bueno mi pregunta es esa, como puedo lograr que una sesion sea segura, para evitar que las cuentas de los usuarios sean hackeadas.
Yo por ahora tengo esto, basado en lo que hizo pato12 (demasiado).
Código PHP:
<?php
/*Incluimos el archivo de conexion*/
include('con.php');
/*Transformamos POST a variables*/
session_start();
$nick = $_POST['nick'];
$captcha = $_POST['captcha'];
$result = $_POST['resultado'];
/*las dos claves las encriptamos con sha1 y md5*/
$clave = sha1(md5($_POST['clave']));
/*Comprobamos que ningun campo este vacio*/
if($captcha==NULL|$nick==NULL|$clave==NULL) {
echo "Algun campo esta vacio";
}else{
/*el valor de captcha dado por el usuario debe ser correcto al resultado para continuar*/
if($captcha != $result) {
echo "El captcha es incorrecto";
}else{
$query = mysql_query("SELECT nick,clave FROM usuarios WHERE nick = '$nick'") or die(mysql_error());
$data = mysql_fetch_array($query);
if($data['clave'] != $clave) {
echo "Login incorrecto";
}else{
$query = mysql_query("SELECT nick,clave FROM usuarios WHERE nick = '$nick'") or die(mysql_error());
$row = mysql_fetch_array($query);
$_SESSION["snick"] = $row['nick'];
echo 'Has sido logueado correctamente '.$_SESSION['snick'].' y puedes acceder al <a href="index.php">Index</a>.';
}
}
}
?>
Como lei en el post del aporte de Pato, decia que era un sistema demasiado "hackeable" y obviamente debe ser asi, para que los estamos aprendiendo nos esforcemos mas, eso he estado haciendo, pero como aun no tengo unas bases fuertes en esto del PHP no tengo la menor idea de que debo hacer.
Por eso les pido un poco de ayuda sobre esto


.
Gracias por leerme salu2