Aunque coloque la contraseña correctamente me vuelve a salir una y otra vez

Distriker · #1 (**permalink**) 23/09/2009, 09:45

Hola a todos, ahora mismo tengo un problema con una protección en php mediante pass_protect.

El problema que tengo es que por mas que introdusca el user y la pass pues me sigue saliendo la ventana pidiendo el user y el pass, los codigos que tengo son estos:

Código PHP:

  <?php
require ("../includes/proteccion.php") ;
?>
<?php
require ("../includes/login.php") ;
?>

// Aquí llamo al codigo de "protección" y el de login, que permite la ventana //

proteccion.php:

Código PHP:

  <?php
function pass_protect($name, $pass, $mensaje='Area solo para usuarios registrados'){
    $files['.htaccess'] = array(
        'AuthName "'.$mensaje.'" ',
        'AuthType Basic ',
        'AuthUserFile '.realpath('./').'/.htpasswd ',
        //'AuthGroupFile /dev/null ',
        'require valid-user '
    );
    if(is_array($name) && is_array($pass)){
        foreach($name as $k => $v){
            if( !empty($name[$k]) && !empty($pass[$k]) ){   $files['.htpasswd'][] = $name[$k].':'.crypt($pass[$k]);    }
        }
    } elseif(is_array($name)){  foreach($name as $k => $v){   $files['.htpasswd'][] = $v.':'.crypt($pass);   }  
    } elseif(is_array($pass)){  foreach($pass as $k => $v){   $files['.htpasswd'][] = $name.':'.crypt($v);   }  
    } else {                $files['.htpasswd'][] = $name.':'.crypt($pass); 
    }
    foreach($files as $filename => $cont){
        $cont   = implode("\n", $cont);
        $fp  = fopen($filename, 'w+');
        $read   = fwrite($fp, $cont, strlen($cont));
        fclose($fp);
    }
    return true;
}
?>

login.php:

Código PHP:

  <?php
$name = array ('$$$$$', '$$$$$') ;
$pass = array ('$$$$$', '$$$$$') ;
$mensaje = array ('Esta zona es solo para administradores') ;
pass_protect ($name, $pass) ;
?>

¿Qué fallo le veis?

Los users y las pass las puse así por que las he publicado aquí, pero son otras

.

Saludos

Distriker · #2 (**permalink**) 25/09/2009, 12:05

Bueno, ya se porque no me funciona, os explico, decidí meterme dentro del archivo .htpasswd y me sale mi user y el otro user pero con distintas contraseñas, es como si se hayan codificado o algo raro :S

Veamos, yo tengo esto:

Código php:

Ver original<?php
$name = array ('ivi', 'demo') ;
$pass = array ('ivi', 'demo') ;
$mensaje = array ('Esta zona es solo para administradores') ;
pass_protect ($name, $pass) ;
?>

Y en el .htpasswd aparece esto:

Código .htpasswd:

Ver originalivi:$1$B65.0L1.$txXimYmI78R9eY5Ke2Kg1/
demo:$1$Hz0.EQ3.$rL.Ugc9WOue/lrb5h03ni.

Las contraseñas son lo que va despues del nombre y los dos puntos (:).

¿Cómo podría hacer para que las contraseñas se guarden como son? ¿Añadirle alguna codificación al .htpasswd?

Saludos

codig0 · #3 (**permalink**) 25/09/2009, 12:27

No es que sea algo raro que se haya codificado, lo raro es que no lo hiciese cuando tu le haz mandado eso al script

Código:

crypt($pass)

http://us.php.net/manual/en/function.crypt.php

tienes que quitar eso para que no salga codificado, cosa que no te aconsejo, pero bueno... o usar el mismo método de encriptación antes de validar la contraseña que hayan introducido, para que así coincidan con el archivo.

buzu · #4 (**permalink**) 25/09/2009, 12:35

En serio quieres guardad las contrasenas sin encriptarlas? No lo recomiendo.

Distriker · #5 (**permalink**) 25/09/2009, 12:39

Cita:

Iniciado por codig0

No es que sea algo raro que se haya codificado, lo raro es que no lo hiciese cuando tu le haz mandado eso al script

Código:

crypt($pass)

http://us.php.net/manual/en/function.crypt.php

tienes que quitar eso para que no salga codificado, cosa que no te aconsejo, pero bueno... o usar el mismo método de encriptación antes de validar la contraseña que hayan introducido, para que así coincidan con el archivo.

Pero a ver, si no recomiendas que ponga eso, entonces que hago, pongo un TIP

Cita:

Meterse en el .htpasswd para verificar la contraseña de los administradores y pasarsela.

Sería algo raro :S.

Cita:

Iniciado por buzu

En serio quieres guardad las contrasenas sin encriptarlas? No lo recomiendo.

Entonces..., ¿qué hago? ¿hay alguna forma de mantenerlas encriptadas pero que lo que haya que poner sea lo que yo coloqué?

Saludos

codig0 · #6 (**permalink**) 25/09/2009, 12:42

Como ya te dije lo que no te recomiendo es dejarlas sin codificar... lo que tienes que hacer es al recoger los datos de el formulario con $_POST el usuario y la contraseña encriptarlas con el mismo método para que así coincidan, osea con crypt.

Distriker · #7 (**permalink**) 25/09/2009, 12:46

Veamos, me gustaría decir una cosa, yo no tengo formulario para crear administradores, para yo crear los administradores los agrego mediante aquel codigo que os enseñé antes, este:

Código php:

Ver original<?php
$name = array ('ivi', 'demo') ;
$pass = array ('ivi', 'demo') ;
$mensaje = array ('Esta zona es solo para administradores') ;
pass_protect ($name, $pass) ;
?>

Por lo que yo entiendo lo que tu me estás diciendo es que yo haga esto:

Código php:

Ver original<?php
$name = array ('ivi', 'demo') ;
$pass = array ('ivi', 'demo') ;
$mensaje = array ('Esta zona es solo para administradores') ;
crypt ($pass) ;
pass_protect ($name, $pass) ;
?>

¿Es eso lo que debo hacer?

Saludos

codig0 · #8 (**permalink**) 25/09/2009, 12:48

hombre, no tendrás donde añadirlos, pero en algún sitio te pedirá el usuario y la contraseña para entrar a la página, digo yo vamos.

Distriker · #9 (**permalink**) 25/09/2009, 12:51

Claro, mediante un require llamo a otro codigo, a este:

Código php:

Ver original<?php
function pass_protect($name, $pass, $mensaje='Area solo para usuarios registrados'){
    $files['.htaccess'] = array(
        'AuthName "'.$mensaje.'" ',
        'AuthType Basic ',
        'AuthUserFile '.realpath('./').'/.htpasswd ',
        //'AuthGroupFile /dev/null ',
        'require valid-user '
    );
    if(is_array($name) && is_array($pass)){
        foreach($name as $k => $v){
            if( !empty($name[$k]) && !empty($pass[$k]) ){   $files['.htpasswd'][] = $name[$k].':'.crypt($pass[$k]);    }
        }
    } elseif(is_array($name)){  foreach($name as $k => $v){   $files['.htpasswd'][] = $v.':'.crypt($pass);   }  
    } elseif(is_array($pass)){  foreach($pass as $k => $v){   $files['.htpasswd'][] = $name.':'.crypt($v);   }  
    } else {                $files['.htpasswd'][] = $name.':'.crypt($pass); 
    }
    foreach($files as $filename => $cont){
        $cont   = implode("\n", $cont);
        $fp  = fopen($filename, 'w+');
        $read   = fwrite($fp, $cont, strlen($cont));
        fclose($fp);
    }
    return true;
}
?>

¿Dónde lo tendría que colocar? ¿En el de llamar al usuario o donde pongo el usuario?

Saludos

buzu · #10 (**permalink**) 26/09/2009, 12:44

tomate el tiempo de crear un formulario para agregar usuarios o administradores. TE vas a ahorrar un monton de problemas. Recuerda que mas del 90% de los problemas de seguridad son causados por mala planeacion o mal desarrollo. En tu caso, estas causando un problema solo por no tener una manera de agregar usuarios de forma mas seura. Tan solo el hecho de que estas guardadno tus datos en una archivo de texto ya te baja un punto.

Puedes hacer lo siguiente:
1) pon tu archivo en un lugar arria de tu directorio publico en el server
2) usa un metodo de encripcion de una sola via.
3) crea una pagina donde puedas registrar a tus usuarios.

Tomar unas simples precauciones puede aumentar la seguridad de tu sitio.

Distriker · #11 (**permalink**) 26/09/2009, 17:59

Cita:

Iniciado por buzu

tomate el tiempo de crear un formulario para agregar usuarios o administradores. TE vas a ahorrar un monton de problemas. Recuerda que mas del 90% de los problemas de seguridad son causados por mala planeacion o mal desarrollo. En tu caso, estas causando un problema solo por no tener una manera de agregar usuarios de forma mas seura. Tan solo el hecho de que estas guardadno tus datos en una archivo de texto ya te baja un punto.

Puedes hacer lo siguiente:
1) pon tu archivo en un lugar arria de tu directorio publico en el server
2) usa un metodo de encripcion de una sola via.
3) crea una pagina donde puedas registrar a tus usuarios.

Tomar unas simples precauciones puede aumentar la seguridad de tu sitio.

Lo tendré en cuenta, ya estoy en ello :D

Creando un sistema de registro mediante un tutorial, al cual le voy a tener que modificar y añadir algunas cosas.

Saludos y gracias.

buzu · #12 (**permalink**) 28/09/2009, 20:25

si, por cierto, no se si te quedo claro el por que no te funciona. La cosa es simple, cuando tu guardas la contrasena manualamente guardas digamos lo siguiente:

pwd: supersecreto

y luego cuando el programa te pide la contrasena tu pones 'supersecreto', pero en sus adentros el programa pasa ese valor por una funcion de php (crypt()) que te cambia totalmente el valor regresando digamos:

aaLK8UOIK*y7(IUYGHJG (solo un ejemplo)

por lo que al comparar el valor que te regresa la funcion con el valor que has guardado como contrasena estos no son iguales por lo que te vueve a preguntar por la contrasena.

Probablemente ya habia quedado claro, pero com no lei el resto de las respuestas, quice aclararlo.

Saludos

Distriker · #13 (**permalink**) 29/09/2009, 08:45

Cita:

Iniciado por buzu

si, por cierto, no se si te quedo claro el por que no te funciona. La cosa es simple, cuando tu guardas la contrasena manualamente guardas digamos lo siguiente:

pwd: supersecreto

y luego cuando el programa te pide la contrasena tu pones 'supersecreto', pero en sus adentros el programa pasa ese valor por una funcion de php (crypt()) que te cambia totalmente el valor regresando digamos:

aaLK8UOIK*y7(IUYGHJG (solo un ejemplo)

por lo que al comparar el valor que te regresa la funcion con el valor que has guardado como contrasena estos no son iguales por lo que te vueve a preguntar por la contrasena.

Probablemente ya habia quedado claro, pero com no lei el resto de las respuestas, quice aclararlo.

Saludos

Si, ya me había quedado claro pero muchas gracias de todas formas Buzu.

Ya os colocaré los problemas que no haya solucionado del formulario (del tutorial) que he creado xD.

Saludos y gracias.