Buscando un poco por la red un sistema para autenticación de usuarios he encontrado he encontrado un ejemplo bastante fácil y completo en su implementación pero que no se hasta que punto puede ser seguro. Ya se que ningún sistema es seguro al 100% pero me gustaría saber si este al menos cumpliría su función ante los ataques mas comunes:
http://www.ineedtutorials.com/code/p...m-php-tutorial
La primera duda que me asalta es su manera de autenticar a los usuarios. Únicamente usa una función que comprueba 2 variables registradas mediante $_SESSION tal que así:
Código PHP:
function isLoggedIn(){
if($_SESSION['loginid'] == true && $_SESSION['username'] == true){
return true;
}
else{
return false;
}
}
y protege las paginas comprobando el valor que devuelve esta función, ¿podría un atacante registrar esas 2 variables manualmente y de esta manera, conociendo el userid y el username autenticarse en el sistema sin conocer la contraseña?
Ya de paso me gustaría abusar un poco de vuestra confianza y preguntaros que otros sistemas de login seguros conocéis ya que los que he visto son bastante simples y tampoco me atrevo a crear uno por mi mismo.
Un saludo!