Hola a todos,
Mi pregunta es la siguiente, en muchos casos tengo que hacer aplicaciones con PHP restringidas mediante inicio de sesión de los usuarios.
Mi método, es el siguiente y me gustaría saber si es un método seguro y de que maneras podría mejorarlo.
Nota: uso md5 en mis contraseñas de la base de datos, siempre encriptadas desde javascript, para no mandar la información al servidor sin cifrar.
Código PHP:
if(isset($_SESSION['variable'])){
//CONTENIDO RESTRINGIDO
else
//ALERTA DE PROHIBIDO EL ACCESO
La asignación de esa variable de sesión la hago desde un PHP (que es resultado de un form POST) de la siguiente forma:
Código PHP:
session_start();
if($_POST['usuario']){
$usuario = $_POST['user'];
$contrasena = $_POST['password_encriptado'];
//COMPROBACIÓN DE LADO DEL SERVIDOR POR SEGURIDAD
$comprobacion = mysql_query("SELECT PASSWORD FROM tabla WHERE USER = '".$usuario."'");
if($comprobacion_fa = mysql_fetch_array($comprobacion)){
if($contrasena == $comprobacion_fa['PASSWORD']){
$_SESSION['variable'] = $usuario;
header("Location:index.php");
}else{
header("Location:login.php");
}
}else{
header("Location:login.php");
}
}else{
header("Location:login.php");
}
Espero aportaciones,
Un saludo!