como puedo destruir una session de usuario logueado?

HalconVigia · #1 (**permalink**) 09/03/2016, 17:23

Buenas!

Explico mi pregunta, tengo una base de datos que funciona con sessiones, todo de maravilla mi duda surge porque quiero poder "cortar" la session de un usuario una vez que este conectado si detecto que esta intentando hacer mal uso del sistema y no solo bloquearlo una vez que haya terminado o bloquearlo para la siguiente vez que se conecte.
Vaya, que estando logeado pueda "desloguearlo" y sacarlo del sistema
¿existe alguna manera?

Saludos y Gracias por responder

xfxstudios · #2 (**permalink**) 09/03/2016, 17:32

hay maneras pero va a depender de que llames mal uso y de ese mal uso tambien va a depender el modo en que se bloqueará, explica un poco mas y vemos

HalconVigia · #3 (**permalink**) 09/03/2016, 17:47

Bueno, quiero dejar claro, mal uso es que una persona ajena a la asignada la cuenta tenga acceso.
el sistema lleva un registro de IP's por las que acceden y por ejemplo tengo un usuario que se conecta de una ciudad pero de pronto 5 mins despues accesan con la misma cuenta pero de una IP diferente en otra ciudad accede a leer y modificar informacion de forma "irregular"
asi que quiero poder bloquear y desconectar a ese usuario inmediatamente antes que acceda a informacion delicada
cabe aclarar que actualmente lo que hace el sistema es bloquear la cuenta pero no puedo evitar que continue accesando o consultando cosa que deseo evitar..

espero haber aclarado el concepto

saludos

petit89 · #4 (**permalink**) 09/03/2016, 18:07

Es un sistema hecho por ti?

puedes añadir un campo a la base de datos llamado "bloqueado".... con valores 0 y 1, desbloqueado y bloqueado

y despues en los documentos o login especificamente, hacer una comprobación de que si "bloqueado" es = 1, no permita logeo, si es 0 que lo permita...

por supuesto el campo "bloqueado" solo el admin(tu) podria administrarlo

loncho_rojas · #5 (**permalink**) 09/03/2016, 21:54

Bueno, jajaja, tú no podrás eliminar la sessión de un usuario ya que se ha creado en un equipo remoto, pero puedes crear un campo de LOGUEO en tu BD, que cuando esté logueado cree una sesión con un valor, puede ser el 1, el 0, o como quieras, y tambien guardas ese valor en la BD, entonces compruebas si la session LOGUEO existe, y si tiene el valor, supongamos 1, lo cual indica que está logueado...

if(isset($_SESSION['logueo'] && $_SESSION['logueo']==1)){
LO DEJAS CONECTADO
}else{
DEBE LOGUEARSE
}

y como ya te indicaron, tambien tener un campo en la BD de bloqueado, si esta 1 o 0 tambien verificas eso al loguearse, si el campo da 0, simplemente le tiras un mensaje, y si esta 1, creas la session de LOGUEO y permites que se loguee normalmente.. no es tan complicado.. con campos en la BD y sessiones lo solucionas

HalconVigia · #6 (**permalink**) 09/03/2016, 23:42

Buenas,
Gracias a los dos por responder.. pero no me queda claro... y aclaro que no quiero que me den el codigo si no que quiero "luz" en mi analisis o si existe algun comando ya sea en php o cualquier metodo para hacer lo que quiero...

¿el sistema esta hecho por mi? R= Si
¿tengo control total del servidor? R=Si

la base de datos maneja un campo que controla si esta activo o inactivo, lo controlo con "A" y "I"
lo que tengo hecho actualmente es que si detecto una coneccion "sospechosa" lo bloqueo poniendolo como "Inactivo", pero el detalle es que hasta que salga, ese bloqueo no es efectivo.
lo que quiero es hacer como e visto en algunos sistemas que te "terminan la session" al hacer algo "indevido"

Eso es lo que quiero saber como terminar esa session del usuario en concreto para "expulsarlo" del sistema
se me ocurrio manejarlo con los archivos temporales de la session pero no tengo como saber cual corresponde a cada usuario o mejor dicho, no se como saberlo.
porque obviamente si borro o cambio ese temporal se cierra la session..

ahora.. el concepto que me dicen de otro campo no entiendo como hacerla funcionar puesto que si cambio o mejor dicho si activo en una variable de session, no tendra efecto porque como es obvio la session no fue abierta por mi, entonces no le veo caso....
¿o me equivoco? o peor aun... ¿entendi mal?

de nuevo gracias y saludos!

petit89 · #7 (**permalink**) 10/03/2016, 00:34

si ya cuentas con ese campo, perfecto!

ahora lo que te falta hacer es añadir en index o pagina principal que es visitada una comprobacion facil...

Código PHP:

  if(isset($_SESSION['alguno_que declaraste']) && $valor_inactivo == "I"){// debes extraer el valor desde la base de datos

//redirecciona a logout.php

header('Location: logout.php');

exit();

}

en el archivo logout.php simplemente debes destruir la session y listo, asi lo sacas del sistema...

luego en el login, has lo que se te recomendo arriba, si el valor es "I" no lo deje logear

saludos!

HalconVigia · #8 (**permalink**) 10/03/2016, 20:50

Buenas Gracias por leer y responder...

petit89: te comento que eso ya lo tengo desde ya hace tiempo en el hecho que si se pone inactivo "I" no le permita logearse, pero...

mi idea o problema radica en que por ejemplo, ya me identifique pero estoy en una IP diferente a la autorizada, o mejor dicho a la "comun" pueda terminar su session
mi situacion es por seguridad ya que detecte que una persona se identifico como un administrador pero de una ciudad diferente a la del administrador "real" entonces obviamente tiene al estar logueado acceso a informacion confidencial que quiero poder evitar que continue leyendo o consultando sin tener que esperar a que cierre su session y se vuelva a loguear

no se si no entendi o no me explique bien pero por eso lo explico mas detenido cual es mi intencion...

Gracias!!

xerifandtomas · #9 (**permalink**) 11/03/2016, 03:27

Lo que debes hacer es la verificación en todas las páginas no sólo en el login.

loncho_rojas · #10 (**permalink**) 11/03/2016, 05:28

Oye, tu problema ya radica en otro ámbito, no puedes solucionar todo con PHP... si tienen acceso desde otra IP y demás, u otra ciudad, podría ser la misma persona desde otra máquina, aún así, es un problema de servidor, a nivel de IP pública o cortafuegos y demás... si pudiéramos restringir todo y controlar todo pues no existirían los SERVER MANAGER... tu función no es ser un policia, es solo restringir a nivel de acceso a usuarios logueados.. ya cuando entras a IP y demás, no estamos hablando a nivel que PHP deba resolverte... por lo menos no en esta generación.

Saludos

petit89 · #11 (**permalink**) 11/03/2016, 07:14

Halcon, tal como lo vuelve a repetir xerifandtomas.. lo que debes hacer es la comprobacion en todas las paginas.

Código PHP:

Ver originalif(isset($_SESSION['alguno_que declaraste']) && $valor_inactivo == "I"){// debes extraer el valor desde la base de datos
//redirecciona a logout.php
header('Location: logout.php');
exit();
}

Este codigo(ya sea comprobacion por cookie o session, si es por cookie debes arreglarlo), lo que hace es que al ingresar al php que no quieres que vean, comprueba si el usuario esta o no bloqueado basandose en el dato que trae en session(el ejemplo) al compararlo con el campo de la base de datos.. comprueba si ha cambiado o no el estado de inactivo o activo, si el usuario esta marcado como inactivo inmediatamente lo redireciona a logout.php, donde destruyes la session o cookie que tiene actualmente y esta permitiendo el logueo o session iniciada, de esta manera lo estas expulsando del sistema.

Defaced · #12 (**permalink**) 15/03/2016, 08:23

Hola a todos, Oigan tengo una duda sobre este tema, la hago aqui o abro otro foro?