Foros del Web » Programando para Internet » PHP »

Consejo: Seguridad en sesiones

Estas en el tema de Consejo: Seguridad en sesiones en el foro de PHP en Foros del Web. Hola. Hace un tiempo que sigo con un pequeño trabajo que implica el uso de sesiones. en esta ocasión, sólo quiero preguntarles algunas cosas respecto ...
  #1 (permalink)  
Antiguo 22/03/2010, 12:10
Avatar de venom_mau  
Fecha de Ingreso: julio-2009
Mensajes: 152
Antigüedad: 15 años, 5 meses
Puntos: 2
Consejo: Seguridad en sesiones

Hola.

Hace un tiempo que sigo con un pequeño trabajo que implica el uso de sesiones.
en esta ocasión, sólo quiero preguntarles algunas cosas respecto a las sesiones en php.

Por principio de cuentas, tengo un script que valida a los usuarios según sus datos, corroborandolo con los datos de una tabla en mysql:
Código:
<?php 
	session_start(); 

	if (!isset( $_POST['idusuario'] )) { 

		header("Location: index.html"); 
	} else { 
		$id = mysql_connect("localhost", "user", "pass"); 
		mysql_select_db("mybd", $id); 
		$consulta = "SELECT * FROM usuarios WHERE idusuario = '{$_POST['idusuario']}' AND idcontrasena = '{$_POST['idcontrasena']}'"; 
		$datos = mysql_query($consulta, $id); 
		$numDatos = @mysql_num_rows($datos); 
	
		if ($numDatos <= 0) { 
			header("Location: error_admon.html "); 
		} else { 
			$_SESSION['idusuario'] = $_POST['idusuario']; 
			header("Location: menu_admon.php "); 
		} 
	} 
?>
Es más o menos esto, previamente tengo un form el cual captura tanto nombre del usuario como su contraseña.

Mi pregunta es como puedo hacer más seguro este uso de sesiones si por ejemplo, el usuario cierra el navegador, o evitar el doble login en mi sitio.

En el primer caso, he estado investigando en el foro, y mencionan que hay que cambiar algunos parámetros de php, pero yo no puedo hacer esto, digamos que no tengo los permisos. Hay alguna forma de cerrar sesión con algún script php, tomando en cuenta que no estoy generando cookies.

En el segundo caso había pensado en agregar un campo en la tabla de usuarios, una bandera, la cual se active cuando este el usuario en su sesión y se desactive cuando cierre su sesión y así evitar doble logeo.

Ustedes que opinan?

Gracias por los comentarios y su tiempo.

Saludos :)
  #2 (permalink)  
Antiguo 22/03/2010, 14:16
Avatar de AnesGy  
Fecha de Ingreso: mayo-2009
Mensajes: 518
Antigüedad: 15 años, 7 meses
Puntos: 19
Respuesta: Consejo: Seguridad en sesiones

Cita:
o evitar el doble login en mi sitio
Eso se hace generando una clave y guardándola en la máquina (por ejemplo en la base de datos), y luego guardando una copia de esta clave en una cookie o algo (sessión en tu caso). Si ambas coinciden entonces se puede considerar como identificado, si no, no. La clave cambia cada vez que se identifiquen y luego tiene una caducidad.
__________________
Si alguna vez parece que soy grosero, pido perdón, es un intento fallido de ser directo.

AnesGy SD. Name it, Get it

Etiquetas: consejo, seguridad, sesiones
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 01:33.