Autentificacion multiusuario con PHP y MySQL tomando en cuenta su ID de Usuario

wambax · #1 (**permalink**) 22/10/2010, 11:29

Hola como estan todos, estoy haciendo una q posee registro de usuarios, inicio de session, activacion por email, cambio de contraseña etc... todo bien hasta el momento pero ahora quiero establecer unos paremetos de seguridad a una pagina especifica atraves de una funcion que ya tengo hecha y, que solamente pueda accesar esa persona por medio de su "ID" de Usuario.

Por Ejemplo: tenemos dos usuarios y sus IDs que lo establece automaticamente la base de datos cuando se registra una persona. (Pedro ID=1) y tenemos (Juan ID=2), cuando se logea cualquier usuario habra una opcion que lo llevara a su pagina "Prohibida.php" ahora lo que quiero hacer es que estas paginas (Prohibida_1.php = Pedro) y (Prohibida_2.php = Juan)

pueda accesar cada usuario en su session correspondiente es decir que (Pedro ID=1 no pueda entrar a la pagina prohibida_2.php que es la de Juan y viceversa) osea que cada uno pueda ver su pagina Prohibida.php pero a la ves no podran ver las paginas de otros usuarios tambien... todo esto lo quiero hacer reconociendo solamente su "ID" de usuario.

Aqui les muestro como lo estoy haciendo:

La estructura de mi base de datos es esta:

Código PHP:

Ver originalCREATE TABLE IF NOT EXISTS `Users` (
  `User_ID` int(11) NOT NULL auto_increment,
  `Username` varchar(150) NOT NULL,
  `Username_Clean` varchar(150) NOT NULL,
  `Password` varchar(225) NOT NULL,
  `Email` varchar(150) NOT NULL,
  `ActivationToken` varchar(225) NOT NULL,
  `LastActivationRequest` int(11) NOT NULL,
  `LostPasswordRequest` int(1) NOT NULL default '0',
  `Active` int(1) NOT NULL,
  `Group_ID` int(11) NOT NULL,
  `SignUpDate` int(11) NOT NULL,
  `LastSignIn` int(11) NOT NULL,
  PRIMARY KEY  (`User_ID`)
) ENGINE=MyISAM DEFAULT CHARSET=latin1 AUTO_INCREMENT=1 ;

Pagina de Inicio de session:

Código PHP:

Ver original<?php
    require_once("config.php");
 
    //Esto impide que el usuario vea esta pagina sin antes haber iniciado session
    if(!isUserLoggedIn()) { header("Location: login.php"); die(); }
?>
<html>
<head>
<title>Bienvenido a la pagina prohibida de Pedro</title>
</head>
 
<div class="Menu">
 
<ul class="categoryitems">
<li><a href="logout.php">Salir</a></li>
<li><a href="account.php">Inicio</a></li>
<li><a href="<?php  $group2 = $loggedInUser->groupID2(); echo $group2['User_ID']; ?>/prohibida.php">Ir a mi Pag Prohibida</a></li>
<li><a href="change-password.php">Cambiar Contrase&ntilde;a</a></li>
<li><a href="update-email-address.php">Cambiar Email</a></li>
</div>
 
<body>
</body>
</html>

Esta es la funcion isUserLoggedIn():

Código PHP:

Ver originalfunction isUserLoggedIn()
    {
        global $loggedInUser,$id,$db,$db_table_prefix;
        
        $sql = "SELECT User_ID,
                Password
                FROM ".$db_table_prefix."Users
                WHERE
                User_ID = '".$db->sql_escape($loggedInUser->user_id)."'
                AND 
                Password = '".$db->sql_escape($loggedInUser->hash_pw)."' 
                AND
                Active = 1
                LIMIT 1";
 
        
        if($loggedInUser == NULL)
        {
            return false;
        }
        else
        {
            //Consulta para asegurar que no hayan sido removidos o baneados de la bse de datos
            if(returns_result($sql) > 0)
            {
                    return true;
            }
            else
            {
                //resultado para verificar que el usuario salio de la session
                $loggedInUser->userLogOut();
            
                return false;
            }
        }
    }

OK hasta ahora todo bien esto lo que hace es que a personas no registradas no les permite ver las Opciones del Usuario. (tendrian que registrarse)

Y cuando van a sus opciones respectivas es decir "Ir a mi Pag Prohibida" lo hace perfecto lo lleva su pagina prohibida deacuerdo a sus IDs de usuarios, ahora el problema es q como hago para denegar el acceso a esa pagina prohibida cuando entra un suario con una ID distinta a la ya preestablecida?

ASI es como estoy haciendo...

NOTA IMPORTANTE: cada una de las paginas prohibidas las tengo en directorios diferentes y cada una le coloco numeros q vienen siendo las IDs de los usuarios osea a cada directorio les tengo su archivo de configuracion, Funcion, etc

La pagina prohibida de Pedro ID=1:

Código PHP:

Ver original<?php
    require_once("config.php");
 
    //Esto impide que el usuario vea esta pagina sin antes haber iniciado session
    if(!acceso_ID()) { header("Location: login.php"); die(); }
?>
<html>
<head>
<title>Bienvenido a la pagina prohibida de Pedro</title>
</head>
 
<p>CONTENIDO PROHIBIDO  de PEDRO AQUI!</p>
 
<body>
</body>
</html>

La pagina prohibida de Juan ID=2:

Código PHP:

Ver original<?php
    require_once("config.php");
 
    //Esto impide que el usuario vea esta pagina sin antes haber iniciado session
    if(!acceso_ID()) { header("Location: login.php"); die(); }
?>
<html>
<head>
<title>Bienvenido a la pagina prohibida de Juan</title>
</head>
 
<p>CONTENIDO PROHIBIDO  de JUAN AQUI!</p>
 
<body>
</body>
</html>

La funcion acceso_ID que es para la pagina prohibida:

Código PHP:

Ver original//Comprobando si las IDs son iguales
    function acceso_ID()
    {
        global $db,$id,$db_table_prefix;
        
        $sql = "SELECT
                User_ID
                FROM
                ".$db_table_prefix."Users
                WHERE
                User_ID = '".$db->sql_escape($this->user_id)."'";
        
        $result = $db->sql_query($sql);
        
        $row = $db->sql_fetchrow($result);
        
        return ($row['User_ID']);
    }
 
 
 
            //Este ID si es para Pedro que tiene 1
                $id = 1;
 
 
            //Aqui hago la validacion
                if ($row['User_ID'] == $id)
                {
                header ("Location: prohibida.php");
                }
                else
                {
                header("Location: no_acceso.php");
                }

Mi problema es que los usuarios pueden ver las paginas prohibidas de otros usuarios y quiero parar eso quiero denegar el acceso atraves de sus IDs de suarios, es decir que solo puedan entrar solo a su pag prohibida correspondiente

SI alguien por favor me pudiera ayudar mi problema, debe ser un error q estoy cometiendo en esta ultima funcion "acceso_ID", por q lo demas funciona perfecto les pido su ayuda GRACIAS POR LEER ESTE TEMA.

gusma62 · #2 (**permalink**) 22/10/2010, 13:38

Para esto existe php

Para empezar no deberías tener "páginaProhibidaDeJuan" y "páginaProhibidaDePedro", sino solo una: "paginaProhibida".

Al momento de que el usuario se loguee, entrará a "paginaProhibida", la cual reconocerá al usuario que ingresó y cargará los datos que solo puede ver este usuario:

<title>Bienvenido a la pagina prohibida de <?php echo $usuarioNombre; ?></title>

Espero con esto te de alguna idea, saludos.

wambax · #3 (**permalink**) 22/10/2010, 14:07

Hola gracias por responder el tema...

Pero lo que pasa es lo siguiente cada Usuario tiene un gestor de contenido diferente al otro y manejan otra base de datos aparte de la base de datos que manejo para los registros de nuevas personas, lo que quiero es comparar los IDs del Usuario para denegar o no el acceso dependiendo si el ID corresponde al numero de directorio, es decir para cada usuario le tengo un directorio y dentro de el las paginas prohibidas (cada directorio tiene un numero que viene siendo el ID de cada usuario) y cuando le dan a la opcion ir a la pagina prohibida en el Menu lo redireciona a su directorio correspondiente eso lo hace bien con esta sentencia .

Código PHP:

Ver original<li><a href="<?php  $group2 = $loggedInUser->groupID2(); echo $group2['User_ID']; ?>/prohibida.php">Ir a mi Pag Prohibida</a></li>

Por lo demas esta perfecto.

johhan16 · #4 (**permalink**) 22/10/2010, 19:25

si es como me imagino puedes hacer una comparacion de la direccion

ejemplo si pedro es el ID=2 entonces su pagina prohibida es

www.mipagina.com/2/paginaprohibida

de ser asi puedes colocar al principio de estas paginas prohibidas un codigo que verifique el link donde estan ingresando y extraiga de este link el id en este caso el 2, luego lo compare con el id del usuario que esta conectado, si es el correcto lo deje seguir, de lo contrario lo saque

wambax · #5 (**permalink**) 22/10/2010, 19:54

Cita:

Iniciado por johhan16

si es como me imagino puedes hacer una comparacion de la direccion

ejemplo si pedro es el ID=2 entonces su pagina prohibida es

[url]www.mipagina.com/2/paginaprohibida[/url]

de ser asi puedes colocar al principio de estas paginas prohibidas un codigo que verifique el link donde estan ingresando y extraiga de este link el id en este caso el 2, luego lo compare con el id del usuario que esta conectado, si es el correcto lo deje seguir, de lo contrario lo saque

Por fin eso es exactamente lo que quiero hacer amigo, EL PROBLEMA es como lo hago?

es decir lo que quiero comparar es si el ID del usuario es igual al numero que yo e preselecionado para la pagina prohibida... es decir tengo 1000 usuarios registrados pues tendre 1000 directorios cada unos de los directorios tendran la paghina prohibida de cada usuario, entonces no quiero q el usuario 1000 vea la web prohibida del usaurio 1 y eso lo quiero hacer con este codigo pero no me hace nada siempre me deja ver lo mismo a todos los directorios... en realidad quiero es comparar el ID con el numero q yo selecione asi como esta en esta funcion... yo se le falta algo para q funcione la comparacion algo esta saliendo mal y tiene q ver con esta funcion... Asi es como lo estoy haciendo pero no me hace la funcion que quiero que es de denegar el acceso cuando EL ID no corresponde a un directorio especifico.

Código PHP:

Ver original//Comparando si las IDs son iguales
    function acceso_ID()
    {
        global $db,$id,$db_table_prefix;
        
        $sql = "SELECT
                User_ID
                FROM
                ".$db_table_prefix."Users
                WHERE
                User_ID = '".$db->sql_escape($this->user_id)."'";
        
        $result = $db->sql_query($sql);
        
        $row = $db->sql_fetchrow($result);
        
        return ($row['User_ID']);
    }
 
            //Este ID es para el Usuario 1
                $id = 1;
 
 
            //Aqui hago la validacion
                if ($row['User_ID'] == $id)
                {
                header ("Location: prohibida.php");
                }
                else
                {
                header("Location: no_acceso.php");
                }

o Como puedo hacer una comparacion de direcciones asi como tu dices johhan16?
de Antemano gracias por responder el tema, y aportar un granito de arena para poder solvertar mi problema, y saludo a la gente del zulia tambien soy de coro falcon :)

johhan16 · #6 (**permalink**) 22/10/2010, 20:39

puedes hacerlo de esta forma

Código PHP:

  <?php

$direccion= $_SERVER['HTTP_HOST'].$_SERVER['REQUEST_URI'];
$dir_id=substr($direccion,14,1);

echo $dir_id;

?>

esta parte es solo para que configures con tu pagina que el substr quede donde debe estar y luego lo compares con el id del usuario.

cabe destacar que asi como lo coloco en este ejemplo solo muestra 1 numero pero si tu crees que tienes mas de 1000 usuarios, entonces los id deberian ser 0001 y de igual forma los directorios para hacer una buena comparacion.

edito:
ejemplo de pagina www.mipagina.com/0001/paginaprohibida.php

id del usuario= 0001

wambax · #7 (**permalink**) 22/10/2010, 20:55

Es decir que ese codigo que tienes lo colocaria en cada una de las paginas prohibida?

AMIGO no puedo colocar 0001 por que en la Base de dato no guarda los IDs asi como dices si no desde 1 y tengo 1034 usuarios en mi DB

Lo que quiero es comparar los IDs de la base de datos MYSQL con los Numeros de los directorios que tiene cada usuario e impedir el acceso a otros directorios q no contenga sus mismo IDs

EJEMPLO:
tengo 1000 usuarios en mi base de datos es decir q tengo 1000 IDs
y cada Usuario tiene un directorio con el numero de ID del Usuario entonces quedaria asi (www.mipagina.com/1/paginaprohibida.php.................... hasta llegar al 1000)

Entonces lo que quiero es que el usuario 999 no pueda entrar o ver la pagina prohibida del usuario 1

Alguien me podria dar una solucion de alguna Function para comparar el ID de la base de datos MYSQL y el numero del directorio?

johhan16 · #8 (**permalink**) 23/10/2010, 17:19

bueno eso que te pase te funciona para eso debes de investigar un poco, yo he tenido cosas que resolver que me han costado, pero lo he solucionado investigando bastante, sin ofender me imagino que ya haz buscado y no haz dado con la solucion, porque tambien me ha pasado y cuando menos uno lo espera alli esta la solucion

Código PHP:

  <?php

$cadena_id = 253;

$contar = strlen($cadena_id);

 
$direccion= $_SERVER['HTTP_HOST'].$_SERVER['REQUEST_URI'];

$dir_id=substr($direccion,14,$contar);

 
echo $dir_id;

echo '<br>';

echo $contar;

?>

fijate lo que acabo de hacer aqui, la variable que dice $cadena_id = 253; alli donde esta el 253 debe estar el id del usuario, los 3 echo que salen al final no van, solo es para que pruebes que el sistema funciona bien, en $dir_id=substr($direccion,14,$contar);, el 14 es de donde va a comenzar a extraer la informacion de la direccion de la pagina, colocalo donde debe estar en tu pagina.

postdata: ya con eso te funcionaria a un 90% lo que quieres solo falta un pequeño detalle que te estoy dejando a ver si puedes resolverlo, luego paso por aqui a ver que ha pasado

Saludos

wambax · #9 (**permalink**) 24/10/2010, 17:39

Listo amigo lo hice como me dijiste pero no hace lo que se quiere... mi pregunta es sera que esta funcion la estoy haciendo mal?

Código PHP:

Ver original//Comprobando si la IDs y el directorio son iguales
    function acceso_id()
    {
        global $db,$db_table_prefix;
        
        $sql = "SELECT
                User_ID
                FROM
                ".$db_table_prefix."Users
                WHERE
                User_ID = '".$db->sql_escape($this->user_id)."'";
        
        $result = $db->sql_query($sql);
        
        $row = $db->sql_fetchrow($result);
        
        return ($row['User_ID']);
    }
 
 
 
            //Aqui hago la validacion
                if ($group2['User_ID'] == $contar)
                {
                header ("Location: prohibida.php");
                }
                else
                {
                header("Location: no_acceso.php");
                }

johhan16 · #10 (**permalink**) 26/10/2010, 12:34

hazle un echo a $row['User_ID'] y asi sabras si te muestra lo que le solicitas, yo te puedo decir que yo probe aqui lo que te envie y funciona a la perfeccion

edito: si quieres me pasas por privado el nombre de tu pagina y el codigo completo de la pagina prohibida y yo te monto eso

wambax · #11 (**permalink**) 27/10/2010, 19:54

Cita:

Iniciado por johhan16

hazle un echo a $row['User_ID'] y asi sabras si te muestra lo que le solicitas, yo te puedo decir que yo probe aqui lo que te envie y funciona a la perfeccion

edito: si quieres me pasas por privado el nombre de tu pagina y el codigo completo de la pagina prohibida y yo te monto eso

No hace nada pana, no se que hacer AYUDAAAAA!
1.- estoy colocando tu codigo en la pagina que quiero controlar
2.- y en la funcion le puse el echo que me dijiste

ahora no se que es lo que pasa, ya te envie el PM!

SI puedes enviame el php que hiciste que dices que funciona a la perfeccion, si puedes enviamelo al correo que te envie en el PM del foro.