Foros del Web » Programando para Internet » PHP »

Log-ins, Log-outs, seguridad, sesiones!

 Estas en el tema de Log-ins, Log-outs, seguridad, sesiones! en el foro de PHP en Foros del Web. Buenas a todos comunidad de ForosdelWeb, ando yo en mis cosas y mis proyectos pequeños, y he llegado a la parte de sesiones, y esto ...
  #1 (permalink)  
Antiguo 04/12/2008, 18:28
 
Fecha de Ingreso: marzo-2008
Mensajes: 73
Antigüedad: 16 años, 10 meses
Puntos: 0
Log-ins, Log-outs, seguridad, sesiones!
Buenas a todos comunidad de ForosdelWeb, ando yo en mis cosas y mis proyectos pequeños, y he llegado a la parte de sesiones, y esto me preocupa mucho ya que es un proyecto que montaré online y en realidad hay poca información al respecto de como debería estar estructurado un sistema de logueo correctamente en PHP.

Mi progreso ha sido el siguiente...

index.php:
Código php: 
Ver original
  1. <?php
  2. session_start();
  3.  
  4. if (isset($_GET[login_failed]) and $_GET[login_failed] === "yes")
  5. {$error = TRUE; $errorMsg = "Nombre de Usuario o Password inv&aacute;lidos.";}
  6.  
  7. if (isset($_GET[db_error]) and $_GET[db_error] === "yes")
  8. {$error = TRUE; $errorMsg = "No se pudo establecer conexi&oacute;n con la Base de Datos de Login.";}
  9.  
  10. if (isset($_GET[logoff]))
  11. {
  12.     $logoff = TRUE;
  13.     setcookie(username,"",time()-60);
  14.     setcookie(userpass,"",time()-60);
  15.     session_unset();
  16.     session_destroy();
  17.     
  18.     unset($_SESSION[username]);
  19.     unset($_SESSION[userpass]);
  20.     $_SESSION = array();
  21. }
  22. ?>
No estoy bien ubicado con el uso de cookies y el delogueo, ahí sale si hubo error de login, de BD, o si hice un logoff.

login.php
Código php: 
Ver original
  1. <?php
  2. session_start();
  3.  
  4. $username = $_POST[username];
  5. $userpass = $_POST[userpass];
  6.  
  7. include ("includes/connect.php");
  8. $sql_identify = "SELECT userpass FROM admin WHERE username = '$username'";
  9. $sql_query = mysql_query ($sql_identify, $sql_connect);
  10.  
  11. $auth = FALSE;
  12. if ($sql_query === FALSE)
  13. {
  14.     $db_error = "yes";
  15.     header ("Location: index.php?db_error=$db_error");
  16. }
  17.  
  18. $row = mysql_fetch_row($sql_query);
  19. if ($row[0] === $userpass)
  20. {
  21.     $auth = TRUE;
  22. }
  23. else
  24. {
  25.     $auth = FALSE;
  26.     $login_failed = "yes";
  27.     header ("Location: index.php?login_failed=$login_failed");
  28. }
  29.  
  30. if ($auth === TRUE)
  31. {
  32.     setcookie(username,"$username",time()+300);
  33.     setcookie(userpass,"$userpass",time()+300);
  34.     
  35.     $_SESSION[username] = $username;
  36.     $_SESSION[userpass] = $userpass;
  37.     
  38.     header ("Location: main.php");
  39. }
  40. ?>
Aquí es donde se autentifíca el usuario. Siento que es completamente inseguro y n00b ese script... me encantaría saber como se hace DE VERDAD.

main.php y los demás sitios dentro de la sesión:
Código php: 
Ver original
  1. <?php
  2. session_start();
  3. if (!isset($_SESSION[username]) and !isset($_SESSION[password]))
  4. {header ("Location: session_error.php");}
  5. else
  6. {$UID = session_id();}
  7. ?>

Aquí se identifica si hay o no sesión.
No se controlar muy bien esto, ni se ocmo trabajan correctamente las sesiones, por favor, si me pueden decir que hago mal y que debo cambiar, consejos, etc, estaría muy agradecido.
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta


« Tema Anterior | Próximo Tema »


La zona horaria es GMT -6. Ahora son las 12:21.