No permite acceso por link a usuarios si no estan logeados en mi web

luisdavid1993 · #1 (**permalink**) 14/07/2015, 13:42

Buenas tarde como dice el título, tengo un problema con mi web ya la cree y tiene tres niveles de acceso pero cuando un usuario copia el link de un usuario registrado y lo usa en cualquier otra pc lo deja ingresar sin pedirle usuario y contraseña

xfxstudios · #2 (**permalink**) 14/07/2015, 14:00

como si, muestra el codigo a ver

luisdavid1993 · #3 (**permalink**) 14/07/2015, 14:08

El código de la página?
la cosa es que copie el index en todas las capetas pero si alguien copia o se sabe el nombre de algún archivo php este se muestra por ejemplo:

Si escriben: www.mipagina.com/carpeta/carpeta

No hay problema porque se muestra el index y pide contraseña pero si alguien hace esto:

www.mipagina/carpeta/archivo.php

La persona puede visualizar lo que está en ese archivo aun si no se a logeado

NueveReinas · #4 (**permalink**) 14/07/2015, 14:08

Entonces no tienes los niveles de acceso bien configurados.

xfxstudios · #5 (**permalink**) 14/07/2015, 14:12

muestra el codigo a ver

xfxstudios · #6 (**permalink**) 14/07/2015, 14:14

yo utilizo este para bloquear las paginas y lo incluyo dentro de cada una con un include de php:

Código PHP:

Ver originalif (!isset($_SESSION)) {
  session_start();
}
$MM_authorizedUsers = "estandar,premium";
$MM_donotCheckaccess = "false";
 
// *** Restrict Access To Page: Grant or deny access to this page
function isAuthorized($strUsers, $strGroups, $UserName, $UserGroup) { 
  // For security, start by assuming the visitor is NOT authorized. 
  $isValid = False; 
 
  // When a visitor has logged into this site, the Session variable MM_Username set equal to their username. 
  // Therefore, we know that a user is NOT logged in if that Session variable is blank. 
  if (!empty($UserName)) { 
    // Besides being logged in, you may restrict access to only certain users based on an ID established when they login. 
    // Parse the strings into arrays. 
    $arrUsers = Explode(",", $strUsers); 
    $arrGroups = Explode(",", $strGroups); 
    if (in_array($UserName, $arrUsers)) { 
      $isValid = true; 
    } 
    // Or, you may restrict access to only certain users based on their username. 
    if (in_array($UserGroup, $arrGroups)) { 
      $isValid = true; 
    } 
    if (($strUsers == "") && false) { 
      $isValid = true; 
    } 
  } 
  return $isValid; 
}
 
$MM_restrictGoTo = "../index.php";
if (!((isset($_SESSION['MM_Username'])) && (isAuthorized("",$MM_authorizedUsers, $_SESSION['MM_Username'], $_SESSION['MM_UserGroup'])))) {   
  $MM_qsChar = "?";
  $MM_referrer = $_SERVER['PHP_SELF'];
  if (strpos($MM_restrictGoTo, "?")) $MM_qsChar = "&";
  if (isset($_SERVER['QUERY_STRING']) && strlen($_SERVER['QUERY_STRING']) > 0) 
  $MM_referrer .= "?" . $_SERVER['QUERY_STRING'];
  $MM_restrictGoTo = $MM_restrictGoTo. $MM_qsChar . "accesscheck=" . urlencode($MM_referrer);
  header("Location: ". $MM_restrictGoTo); 
  exit;
}

luisdavid1993 · #7 (**permalink**) 14/07/2015, 14:20

Creo que ya se me ocurrio la solucion...
crear una variable boolean que me devuelva true cuando un usuario se logee hacer un include en los demas php y si la variable booleana es falsa me devuelva al index...

voy hacerlo a ver que tal.

que ustedes opinan