ahora ando con el tema de las sessions()

oktubre · #1 (**permalink**) 21/07/2004, 14:04

mas o menos la cosa esta así:

Código PHP:

  <?

 
$url = explode("?",$_SERVER['HTTP_REFERER']);

$pag_referida=$url[0];

$redir=$pag_referida;

 
if ($_SERVER['HTTP_REFERER'] == ""){

die ("Error cod.:1 - Acceso incorrecto!");

exit;

}

if(isset($power_a)){

                    if ($power_a > 3){

                    header("Location: user-login.php?error=1");

                                        }

 
}

 
 
session_start() ;

include("config.php");

 
        

        $db = mysql_connect($host, $usuario,$password);  ///  conecto a la db

        mysql_select_db($database,$db);   // selecion de bd

        $sql = "SELECT * FROM fw_admin where admin_pass = '$pass' and admin_user = '$user'"; 

        $result = mysql_query($sql,$db);

        $myrow = mysql_fetch_array($result);

        $power_a= $myrow[admin_poder];

        

        if ($power_a == "3"){

        mail("[email protected]","Ingreso Fallido","

    $user  esta intentando acceder al sistema perseo o esta atacando la Base de Datos<br>

    El password que intenta introducir es: $pass. ","FROM: [email][email protected][/email]");

        header("Location: user-login.php?error=1");

                                        }

        

        if ($myrow["admin_user"] <> ""){

            session_start();

            session_register('power_a');

            session_register('pass');

            session_register('user');

    } else {

    mail("[email protected]","Ingreso Fallido","

    $user  esta intentando acceder al sistema perseo o esta atacando la Base de Datos<br>

    El password que intenta introducir es: $pass. ","FROM: [email][email protected][/email]");

    

    header("Location: $redir?error=0");

    }

        

 
?>

alguien me puede decir por que no me deja ingresar por mas que mi usuario sea el correcto y la clave tambien??? y por que cornos no puedo matar las session?????

graxxx

Cluster · #2 (**permalink**) 21/07/2004, 14:23

Vamos por partes:

1) despues de esos header("location ..") usa un exit;

2) NOOOOOOOOOOOOO uses session_register() para trabajar con sesiones .. usa los arrays superglobales $_SESSION (si usas PHP 4.1.0 en adelante ..)

3) usa comillas en las llamadas a indices de tus arrays que sean alfanuméricos:
$power_a= $myrow['admin_poder'];

4) .. No tiene sentido registrar en una sesión: session_register('pass'); (tu contraseña) cuando tan sólo tieens que validar la existencia de tu "user" minimo o cualquier otra variable que guardes en tu sesión .. NO se trata de comprobar otra vez contra tu BD (consulta) los mismos datos que van en la sesión.. no es esa la filosofía de uso de las sesiones.

5) .. Tienes dos if() y un sólo else .. No cierras el

if ($myrow["admin_user"] <> ""){
session_start();
session_register('power_a');
session_register('pass');
session_register('user');
}

Pero .. tampoco haces nada si se cumple esa condición .. Se supone que ahí tendrías que redireccionar hacia la página que puedes entrar una vez validado tu usuario/contraseña y nivel de acceso .. (a no ser que el código lo pongas a continuación ..). Para que las variable de sesión queden disponibles .. debes "redireccionar" a otra página o recargar la misma. Por ende .. lo más sano ahí es que redirecciones a la página que puede entrar tu usuario validado y sin olvidarte de verificar la existencia de esas variables de sesión .. por qué eso será lo que indique que está entrando tu usuario por la "puerta" (pasó por tu login) y no por "detras" (acceso directo por el URL a esa tal página)....

Un saludo,

Cluster · #3 (**permalink**) 21/07/2004, 14:24

6) (se me olvidó )

Sobra el session_start() del principio del script .. ya usas uno antes de usar tus session_register() (acuerdate de NO OOOOO usar ese método).

Un saludo,

oktubre · #4 (**permalink**) 21/07/2004, 14:47

ahora no entiendo pòr que no usar ese método?=

cual es la onda? por que no?

disculpa mi ignorancia,

oktubre · #5 (**permalink**) 21/07/2004, 14:53

te cuento que de repente anda que es un caño, no andaba porque habia modificado el password y por eso me rebotaba, pero igual me seria muy util saber por que no registrar $user y $pass y $power_a que digamos es un flag ni mas ni menos que amplia las capacidades del formulario que le sigue.

algunas cosas las veras conocidas, como "
die ("Error cod.:1 - Acceso incorrecto!");
que te lo robe del autentificator...

gracias

Cluster · #6 (**permalink**) 21/07/2004, 15:20

Pues si usastes mi "Autentificator" ..por qué no ves el código de la versión 2.x? (usa los arrays superglobales).

http://php.cluster-web.com/autentificator/

Por lo demás .. el tema de usar o no "session_register()" .. más bien el acceso "global" al variables lo tienes brevemente explicado en esta FAQ:

http://www.forosdelweb.com/showthrea...989#post238989
Y en
www.php.net/session

Un saludo,