saludos finalmente una plantilla segura de acceso a mi sitio seria:
Código PHP:
<?php
function limpiar() //funcion que limpia de sentencias sql las variables que usare para comparar
{
foreach ($_POST as $indice=>$valor)
{
$_POST[$indice]=mysql_real_escape_string(stripslashes(trim($valor)));
}
}
session_start();
if (isset($_SESSION["s_user_username"])) {// garantizo que inicio sesion (este if no deberia ir en login por q en ese archvo es que iniciara session pero debe ir en los demas archivos
$refer = strtolower( $_SERVER['HTTP_REFERER'] ); // obtengo de donde viene la solicitud
if(substr_count($refer, 'www.miserver.com')==1){ // esto permite el acceso solo cuando se hace click o direcciona desde dentro del mismo servidor, por ejemplo si entre y abrio y luego me situo en la barra de direcciones y le doy enter no me deja entrar cosa que mis usuarios pueden soportar....
// si pasa todo los parametros de seguridad verifico el logueo (usare de ejemplo un login.php
include_once 'conexion.php';
autenticacion(limpiar($_POST['usuario']),limpiar($_POST['clave']));// garantizo que lo que paso por post este limpio
?>
aqui adentro va el cuerpo del archivo en cuestion si todo va bien es que lo mostrara sino ira hacia los else.
<?php }else{// este cuando no tiene session
header("Location: ../login.php");
} }else{// cuando accede de forma irregular
header("Location: ../index.php");
} ?>
la funcion que coloque limpiarcadena() no haria falta?
algo mas que se pueda agregar?
1)verifico que halla iniciado sesion (cuando no es login.php)
2)verifico que la solicitud sea desde mi servidor
3)me cuido del sqlinjection
algo mas????????