Como hacer un codigo visual de seguridad

Takitei · #31 (**permalink**) 10/12/2004, 08:02

No puedes ponerlo directamente $codigo=$_SESSION['mipass']; jejeje, debes abrir y cerras las etiquetas de PHP.

Código PHP:

  <?php

$codigo=$_SESSION['mipass'];

?>

Y luego ejecutarlo en un servidor. En Dreamweaver el código no será interpretado.

Un saludo!

Cluster · #32 (**permalink**) 10/12/2004, 08:23

Ya puestos .. faltaría iniciar el uso de sessiones: session_start()

Código PHP:

  <?php 

session_start();

$codigo=$_SESSION['mipass']; 

?>

Un saludo,

Takitei · #33 (**permalink**) 10/12/2004, 10:36

Woops cierto!

pakillo · #34 (**permalink**) 18/03/2005, 13:05

hola, cluster yo tengo un problema, no me aprece la imagen, lo estoy probando en local y tengo activada la libreria gd porque ya lo he utilizado con varios scripts, hice los 2 ultimos cambios que aparecen en losultimos mensajes pero nada, lo que si he notado es que a partir de la linea 14 en el archivo genera_password.php no comenta algunas lineas, lo digo porque utilizo el php expert editor para los archivos php y hasta la linea 13 todo me sale bien pero las siguientes lineas no, debo decir que no se casi nada de php :)

Saludos

pakillo · #35 (**permalink**) 18/03/2005, 13:12

ummm lo siento no me habia fijado en la ultima pagina de los post, ahora no sale el problema que decia de las lineas, pero aun no aparece la imagen, antes aparecia la cruz y ahora esta en blanco, alguna sugerencia?

Takitei · #36 (**permalink**) 18/03/2005, 13:32

Vayan a las FAQs de PHP, ahí se encuentra el script completo sin errores.

Reynier · #37 (**permalink**) 10/04/2005, 01:30

Yo he cogido el código que tienes en las FAQ's y he realizado alguna que otra variación. Por ejemplo al fichero donde se encuentra la función para generar la contraseña lo he llamado de otra manera: code_genera.php pero el contenido es el mismo:
code_genera.php

Código PHP:

  <?php

 function genera_password($longitud,$tipo="alfanumerico"){

  if ($tipo=="alfanumerico"){

   $exp_reg="[^A-Z0-9]";

  }elseif ($tipo=="numerico"){

   $exp_reg="[^0-9]";

  }

  return substr(eregi_replace($exp_reg, "", md5(time())) .

         eregi_replace($exp_reg, "", md5(time())) .

         eregi_replace($exp_reg, "", md5(time())),

         0,$longitud);

 }

?>

En el archivo donde genero la imagen he puesto esto:

Código PHP:

  <?php

session_start();

require("class/smarty/Smarty.class.php");

include_once("language/lang-spanish.php");

include_once('class/DB.php');

include ("code_genera.php");

/* Making code for SECURITY CODE and store it into a SESSION */

$securitycode = genera_password(10);

$_SESSION['securitycode'] = $securitycode;

$template->assign("SECURITYCODE","<img src=\"securitycode.php\">");

y mi archivo securitycode.php contiene este código:

Código PHP:

  <?php

 session_start();

 $codigo = $_GET['securitycode'];

 //$codigo = $_SESSION['securitycode'];

 $tipografias = array("font1","font2","font3","font4","font5","font6","font7","font8");

 $tipografias_ruta = "D:/WWW/jclub/tipografia/";

 $espacio = 0;

 $tamano_fuente = 14;

 $profundidad_codigo = 8;

 $x = $profundidad_codigo*$tamano_fuente;

 $y = $tamano_fuente;

 $im = imagecreate($x, $y);

 $color_fondo = imagecolorallocate($im, 255, 255, 255); // Blanco

 $color_texto = imagecolorallocate($im, 0, 0, 0); // Negro

 for($caracter=0; $caracter<$profundidad_codigo; $caracter++){

  $indice_aleatorio=array_rand($tipografias);

  $tipografia=$tipografias_ruta.$tipografias[$indice_aleatorio].'.ttf';

  imagettftext($im, $tamano_fuente, 0, $espacio, $tamano_fuente, $color_texto, $tipografia , $codigo{$caracter});

  $espacio +=$tamano_fuente;

 }

 header('Content-type: image/png');

 imagepng($im);

 imagedestroy($im);

?>

ahora cuando lo llamo normalmente no pone nada. Y si lo llamo de esta forma:

Código PHP:

  http://localhost/jclub/securitycode.php?securitycode=123455

me da este error:

Cita:

Notice: Uninitialized string offset: 6 in D:\WWW\jclub\securitycode.php on line 18

Notice: Uninitialized string offset: 7 in D:\WWW\jclub\securitycode.php on line 18

Warning: Cannot modify header information - headers already sent by (output started at D:\WWW\jclub\securitycode.php:18) in D:\WWW\jclub\securitycode.php on line 21
‰PNG IHDRpæ…ÉPLTEÿÿÿßßßŸŸŸ___???¿¿¿<ž>Ý IDATxœ•’;oÂ@ Ç}—Œ8 1â1RX)c«6c¤ªíšVUçR•ïÍÙj ‡þ–ü|öùÄ|Ä®´+"VÇ_œ £“äŸ*HšLëY]qp4J,`›Ä n±UÏz%€+ :.ZU¨þƒnE`°¼:î2j7 ƒÚª3º[ÀBÜ–Á|WRðSàV#C¨.L,hqïøÍŽuFýyC!±€/â2$õšÒÁ°+E±Cgåý¹a€ÏäE.Uhƒz*i¹zæ´m*rR›_CYÕÏç üØC9*? Ò®#®ðÆÉ)Ó&);Šl ¿œ.‘†,ä*k ;X[•·úøJÃm8j¦0¥ ‹Ójä. ùÄ bIEND®B`‚

QUe estoy haciendo mal?
Salu2

Takitei · #38 (**permalink**) 10/04/2005, 12:42

Ja!.. quien sabe. Con tantas cosas que le agregastes es un trabajo detectar el error.

Inside PHP · #39 (**permalink**) 10/04/2005, 14:37

Hace unos día vi un enfoque de eso que me gustó por lo sencillo y eficaz:

Introduzca el valor numérico de tres mil doscientos cuatro:

... por ejemplo.

Takitei · #40 (**permalink**) 10/04/2005, 15:40

Es hackeable.

Reynier · #41 (**permalink**) 10/04/2005, 16:02

Que es lo que es hackeable el código que te dejé? Lo que pasa es que yo trabajo con Smarty y a la hora de enviar la imagen, o sea, hacer el header ya he enviado código HTML antes y me da problemas con las cabeceras. Como lo puedo solucionar ?
Salu2

Takitei · #42 (**permalink**) 10/04/2005, 17:58

Lo que propone Inside PHP es lo hackeable. El script de las FAQ no.

Inside PHP · #43 (**permalink**) 11/04/2005, 03:16

En esta vida todo es hackeable menos la muerte, Takitei. Pero si de lo que se trara es de que algún bot despistado se registre en algún interesantísimo foro, ese script es perfectamente válido.

(es chocante la moda de los códigos visuales jode-ojos, sí. Que lo haga un whois o Yahoo, vale, pero cuando se ve en foritos de 20 usuarios... en fin)

Cluster · #44 (**permalink**) 11/04/2005, 05:57

Cita:

Iniciado por Reynier

Que es lo que es hackeable el código que te dejé? Lo que pasa es que yo trabajo con Smarty y a la hora de enviar la imagen, o sea, hacer el header ya he enviado código HTML antes y me da problemas con las cabeceras. Como lo puedo solucionar ?
Salu2

La filosofía es la misma si usas directo HTML o plantillas ..

Es en un tag HTML de imagen tipo:

<img src="genera_imagen_codigo.php">

donde debes llamar al código PHP que genera el "código" . el uso de sesiones que se hace ya propaga en esa sesión el código a "representar" gráficamente.

El código de "generar la imagen" se llama y tiene que ser aislado!... tal cual veras en los ejemplos de este mensaje o en las FAQ's (que está completo).

Un saludo,

Cluster · #45 (**permalink**) 11/04/2005, 05:59

Cita:

Iniciado por Inside PHP

En esta vida todo es hackeable menos la muerte, Takitei. Pero si de lo que se trara es de que algún bot despistado se registre en algún interesantísimo foro, ese script es perfectamente válido.

(es chocante la moda de los códigos visuales jode-ojos, sí. Que lo haga un whois o Yahoo, vale, pero cuando se ve en foritos de 20 usuarios... en fin)

Lamentablemente siempre hay gente que quiere "joder" .. por eso hay que estar andando con todo este tipo de validaciones .. Sea UN usuario o sean MILES. De hecho .. este tipo de "seguridad" no nació junto con los sistemas de registro de usuarios .. se creó la necesidad por eso mismo .. por la gente que quería "joder" que empezó a diseñar esos "bot" que hacían N registros "aleatórios".

Un saludo,

Takitei · #46 (**permalink**) 11/04/2005, 06:33

El sistema que propone Inside PHP puede ser vulnerable, por el hecho de que facilmente con PHP se pueden leer los números escritos y luego escribirlos en el campo correspondiente en forma numérica. No es dificil. Yo recomiendo usar el generador que se propone en las FAQ hecho por Cluster (si no me equivoco y solicitado por Ferny) el cual genera una imagen deformada en PHP que sería dificil de decodificar por algun bot.

Por cierto Reynier...

Para solucionar ese problema podrías usar ob_start() al inicio de tu script y al final poner ob_end_flush()

Esto almacena la salida del script en un buffer, y luego al final de que se tiene todo el code almacenado en el buffer se libera. Asi te librarás de los problemas que tienes con Smarty. Cambiando el tema... ¿Qué tal es Smarty?

artaniz · #47 (**permalink**) 13/06/2005, 09:04

Hola que tal....

me genera la imagen pero no me muestra las fuentes o letras....

gracias por cualquier ayuda...

Danilo

artaniz · #48 (**permalink**) 13/06/2005, 09:08

Hola que tal...

tengo un problemita... me genera la imagen... pero no me muestra el texto....

gracias por cualquier ayuda....

Cluster · #49 (**permalink**) 14/06/2005, 19:27

Se supone que el código funciona .. si tienes algún problema concreto por tu configuración de PHP o cambios realizados tendrás que comentar al menos si usas el ejemplo -tal cual- o algo modificado (expón tu código). El código (como todos) genera variables .. variables que puedes ir poniendo un "echo" para ver su valor y así seguir la pista de como se genera el gráfico ..

De hecho por lo que describes tienes problemas con la propagación o creación de tus variables de sesión que contienen el "texto" del código a generar en el gráfico.

Un saludo,

Takitei · #50 (**permalink**) 15/06/2005, 12:42

Verifica que tengas instaladas las librerías GD.

mentorprovida · #51 (**permalink**) 06/07/2005, 19:11

Sobre: ¿Cómo hacer un código visual de seguridad?

ver: http://mentorprovida.com/php/sesiones/genera_img.php

http://mentorprovida.com/php/sesiones/tupagina.php

me ayudas con el codigo valido. MIL GRACIAS

Takitei · #52 (**permalink**) 06/07/2005, 19:37

"Could not find/open font in" = Tienes problemas con las fuentes a utilizar. Asegúrate de se encuentren en la carpeta indicada. Acuérdate de la diferencia de rutas en Windows y Linux.

Creo que para usar fuentes, tienes que tener una librería instalada. No estoy seguro. Creo que las GD requieren de una librería adicional para escribir fuentes en las imágenes.

Cluster · #53 (**permalink**) 14/11/2005, 07:45

Cita:

Iniciado por August

Lo hice exactamente como dice en las faq, supongo que ha de faltar alguna libreria extra, por que me queda asi: www.dominatic.com/cv/tupagina.php

Se ve el fondo, no dice errores, pero el texto no se escribe

Parece que ya solventastes tu problema?

Pude ver tu ejemplo, el código en gráfico y el código PHP validando bien ...

Un saludo,

PD: Estaría bueno que indicases el problema que tenías y su solución.

index000 · #54 (**permalink**) 24/07/2006, 19:48

hola, al final es cierto, no queda muy en claro, mucho codigo y nadie dice, SI FUCNIONA!

Seria muy dificil que uno de los creadores de este codigo diga si el codigo de la faq esta actualizado, y si copiamos el codigo de la faq anda? digamos tengo el mismo problema q todos, no veo la imagen a generar, no la veo como localhost ni en mi hosting pago, cual es el problema?

Cluster · #55 (**permalink**) 24/07/2006, 21:10

Cita:

Iniciado por index000

hola, al final es cierto, no queda muy en claro, mucho codigo y nadie dice, SI FUCNIONA!

Seria muy dificil que uno de los creadores de este codigo diga si el codigo de la faq esta actualizado, y si copiamos el codigo de la faq anda? digamos tengo el mismo problema q todos, no veo la imagen a generar, no la veo como localhost ni en mi hosting pago, cual es el problema?

Pues el código de la FAQ que se publicó a raiz de este mensaje está correcto y FUNCIONA .. de hecho gracias a gente que lo ha probado veras que el còdigo se mantiene (fijate al piè del mismo los comentarios!!!):

http://www.forosdelweb.com/showpost....&postcount=123

Ahora, .. que no te funcione a ti .. es un tema a evaluar. Todos tuvieron algùn tipo de problemas y no todos era por lo mismo, algunos no tenían GD instalado, otros tantos con problemas de sesiones, otros que no lo usaban como se explica .. en fin .. el mismo "problema visual" puede ser originado por muchas cosas. Mira como todo el mundo nunca ha reportado su problema concreto con datos y pruebas .. (como tu) ... así no hay forma de solventar problemas:

Una pequeña guía para detectar el problema:

1) Ten presente que el còdigo usa las librerìas GD. Las tienes instaladas y con soporte para tipografìa True Type?
2) El código se basa en sesiones. Funcionan en generan en tu servidor y otras aplicaciones que usen sesiones? .. verificalo antes con pruebas simple de uso de sesiones. El código presentado asume que se propaga el SID (Identificador Único de sesión) bajo cookies por ende .. debes aceptarlas y que nada las bloquee ademàs que tu configuración de PHP al respecto las cree.

Estos dos puntos debes de tenerlos claro antes de probar este tipo de ejemplos. De todas formas hay más "pruebas" para intentar ver un mensaje de error referente a alguno de los temas mencionados antes.

3) Del código genera_img.php (hablo del publicado final en las FAQ's) quita o comenta la línea referente a header() (envio de cabeceras). LLama a ese código en forma aislada por el navegador (barra de direcciones) y fija en el còdigo: $codigo a un valor cualquiera (para realizar pruebas).

Si ves un montón de "caracteres" tipo: klasdifukjhsdaf kjhjsdfkjhdasf .. eso es tu imagen generada = no tienes problemas con GD en sí ..

Activa la línea de "header()" y vuelve a probar el código (en llamada directa por tu navegador) .. Si ves el código generado, podemos "pensar" en problemas con sesiones, en este caso si corresponde ya vendrá otra "batería" de pruebas y preguntas para ver tu configuración de sesiones y checkeos de "cookies" si se estàn generando.

Realmente este tipo de "pruebas" en busca de un "mensaje" de error no sólo son válidas para este "código" sino para cualquiera que genere imagenes. El hecho de enviar "cabeceras HTTP" vìa header() suele molestar para detectar un problema o error que se está produciendo pero no "vemos" y que hay que ver para dar algún tipo de solución.

Si te fijas en la FAQ .. este tipo de "código" tiene nombre (como para que uses google y busques tal vez otras soluciones al problema): CAPTCHA

Un saludo,

X3mdesign · #56 (**permalink**) 26/09/2006, 02:01

Hola a todos, estoy intentando implementar el código en mi portal... pero al igual que a otros usuarios la imagen no me sale... aparece con vínculo roto... tengo soporte GD y las sesiones me han funcionado bien... en lo que dudo es la ruta para las fuentes... sé que tengo sistema del servidor linux pero desde el FTP no veo la carpeta "public_html" por ningún lado... ni "fonts" cómo puedo averiguarlo?? podría subir la tipografía que a mí me de la gana??

Me da apuro el post porque seguro que es una chorrada... y a estas alturas debería saberlo... -_-¡

Un saludo y gracias!!

Cluster · #57 (**permalink**) 26/09/2006, 06:06

Cita:

sé que tengo sistema del servidor linux pero desde el FTP no veo la carpeta "public_html" por ningún lado... ni "fonts" cómo puedo averiguarlo??

Los ejemplos de las rutas propuestas son eso mismo .. ejemplos.

Tu debes colocar tus fuentes True Type donde quieras en tu servidor. En el script y parte que se indica ahí colocas la ruta absoluta donde quedaron.

Indicaciones para evaluar el problema: ver el mensaje de error concreto que tengas ya se explicó en este mismo tema:

http://www.forosdelweb.com/showpost....4&postcount=28

Si te fijas . .eso es un "procedimiento" en general para evaluar problemas de este estilo. Si te quedas mirando la "X" en tu navegador no vas a ver el problema concreto que tengas y menos darle solución. Sigue los pasos indicados, es necesario "ver" tu problema concreto.

Un saludo,

X3mdesign · #58 (**permalink**) 26/09/2006, 07:07

Gracias Cluster... el error que me da es que no encuentra la tipografía...

Warning: imagettftext(): Could not find/open font in /home/httpd/vhosts/nippon-tour.com/httpdocs/web/gen_imagen.php on line 42
imagettftext(Resource id #2, 15, 0, 0, 15, 1, http://www.nippon-tour.com/lib/Chinyen.ttf , ad840c820)

y desde luego que la ruta aparece correctamente escrita.... porque el archivo es descargable...

Cluster · #59 (**permalink**) 26/09/2006, 08:19

Cita:

Iniciado por X3mdesign

Gracias Cluster... el error que me da es que no encuentra la tipografía...

Warning: imagettftext(): Could not find/open font in /home/httpd/vhosts/nippon-tour.com/httpdocs/web/gen_imagen.php on line 42
imagettftext(Resource id #2, 15, 0, 0, 15, 1, http://www.nippon-tour.com/lib/Chinyen.ttf , ad840c820)

y desde luego que la ruta aparece correctamente escrita.... porque el archivo es descargable...

La ruta a tus fuentes debe ser "ABSOLUTA" no relativa com tu indicas. En los ejemplos y psudo-documentación de este script por ningún sitio se indica "http://" .. así que no sé por qué lo usas.

Un saludo,

X3mdesign · #60 (**permalink**) 26/09/2006, 08:55

Gracias Cluster... siento agotar tu paciencia T_T¡

la cuestión es que siempre he pensado que al poner "http://" eran direcciones absolutas... y "lib/Chinyen.ttf" era relativa... pero ya veo que ese era el problema... que la dirección absoluta que pedía era la misma que la del error 42... muchas gracias!!!! funciona genial!!!! se acabaron los mailditos bots!!!