Protejer directorio web y acceder solo con $_SESSION

diego_weichafe · #1 (**permalink**) 31/07/2013, 22:23

Hola amigos... Primero que todo, gracias por su ayuda.

Tengo una pagina web construida por completo con archivos ".php".

Para acceder a la web, primero se debe entrar al "login.php", cuando todos los datos estan correctos, se iinicia la sesion con "$_SESSION" y te lleva a otro directorio donde esta la pagina principal.

La estructura es la siguiente:

/root/
/root/login.php (se envia el formulario)
-> /root/validar_usuario.php (si los datos estan correctos, sigue al directorio)
-------->/root/directorio/
-------->/root/directorio/index.php

El problema es que yo puedo escribir en el navegador /root/directorio/index.php y entrar a mi pagina index.php sin problemas.

No se como evitar que se pueda entrar a esta pagina si no se logeo previamente.

Muchas gracias de antemano.

Saludos

Naahuel · #2 (**permalink**) 31/07/2013, 23:07

Cuando inicies sesión, guardá en la variable $_SESSION un valor buleano que indique si ha iniciado sesión o no (por ejemplo $_SESSION['logueado'] ). Entonces, al principio de cada archivo de tu aplicación poné algo así:

Código PHP:

Ver originalsession_start();
 
if(!isset($_SESSION['logueado']) || !$_SESSION['logueado']){
    header('location:login.php');
    die;
}

Es decir, veriifica que la clave logueado exista en el array y luego que sea verdadera. Si alguna de estas condiciones no se cumple, envías al usuario a la página de login.

Dado que estás usando varios subdirectorios, vas a tener que poner la ruta de login.php relativa al archivo donde estás ubicado.

kobety · #3 (**permalink**) 01/08/2013, 02:14

yo lo que vengo a comprobar en TODAS las páginas que tengo es que haya una sesión con un nombre de usuario , si no que lo mande fuera :P

Código PHP:

Ver originalsession_start();
    if($_SESSION['user'] == ""){
        echo "<script>if(confirm('No está Registrado. ¿Desea volver a la página principal?')){ 
                    document.location='index.php';} //De aquí lo mando a la página de login, es un poco absurdo pero bueno, lo empecé así y para no cambiarlo todo... XD
                else{ 
                    document.location='logout.php' 
                    }</script>";
        exit;
    }

#4 (**permalink**) 01/08/2013, 10:52

como lo tienes puesto si un user entra sin estar registrado saltara un error que no esta definida la variable $_SESSION['user'] mostrando informacion sensible si no esta bien configurado, lo recomendable es usar empty , isset tambien puede valer pero solo determina si la variable existe y no distingue el valor , pero empty si distingue lo primero si no es empty (null,false,var sin declarar , etc.. )entonces si continuamos en el if y si es empty entramos en el else pero no muestra ningun error en caso de no estar definida la variable $_SESSION['user']

http://es1.php.net/manual/es/function.empty.php

Código PHP:

Ver originalsession_start();
 
if(!empty($_SESSION['user']))  // o incluso (isset($_SESSION['user']) and !empty($_SESSION['user'])) 
{
    // contenido para logueados
}
else
{
    // controlamos el error
 
 exit(htmlentities('No está Registrado. ¿Desea volver a la página principal?, <a href="index.php">volver</a>'));
 
}

diego_weichafe · #5 (**permalink**) 01/08/2013, 17:15

para comenzar el login uso (cuando se envia el formulario y se revisa si esta todo correcto):

Código PHP:

Ver original<?php
ob_start(); // outer buffer 
ob_start(); // inner buffer to catch URL rewrites and other post processing 
session_start();
?>
<link href="sisprod/style.css" rel="stylesheet" type="text/css"><?php
//datos para establecer la conexion con la base de mysql.
mysql_connect('xx','root','xx')or die ('Ha fallado la conexión: '.mysql_error());
mysql_select_db('zzz')or die ('Error al seleccionar la Base de Datos: '.mysql_error());
function quitar($mensaje)
{
    $nopermitidos = array("'",'\\','<','>',"\"");
    $mensaje = str_replace($nopermitidos, "", $mensaje);
    return $mensaje;
}
if(trim($_POST["usuario"]) != "" && trim($_POST["password"]) != "")
{
    // Puedes utilizar la funcion para eliminar algun caracter en especifico
    //$usuario = strtolower(quitar($HTTP_POST_VARS["usuario"]));
    //$password = $HTTP_POST_VARS["password"];
    // o puedes convertir los a su entidad HTML aplicable con htmlentities
    $usuario = strtolower(htmlentities($_POST["usuario"], ENT_QUOTES));
    $password = $_POST["password"];
    $passwordMD5 = MD5($password);
    $result = mysql_query('
    SELECT 
    zzz.admin.clave,
    zzz.admin.rut 
    FROM zzz.admin 
    WHERE rut=\''.$usuario.'\'');
    if($row = mysql_fetch_array($result)){
        if($row["clave"] == $passwordMD5){
            $_SESSION["k_username"] = $row['rut'];
            
            echo'
            <div class="divtablalogin">
            <table><tr><th>Has sido logueado correctamente</th></tr><tr><th>'.$_SESSION['k_username'].'</th></tr>
            <tr><th>PRESIONE EL ENLACE</th></tr>
            <tr>
        <th><div align="middle"><a href="sisprod/index.php">Entrar al Sistema</a></div></th><tr></table></div>';
            
            
            //Elimina el siguiente comentario si quieres que re-dirigir automáticamente a index.php
            /*Ingreso exitoso, ahora sera dirigido a la pagina principal.
            <SCRIPT LANGUAGE="javascript">
            location.href = "index.php";
            </SCRIPT>*/
        }else{
            echo '<div class="divtablalogin"><table><tr><th>Password incorrecto</th></tr>
            <tr>
        <th><div align="middle"><a href="login.php">Inicio</a></div></th><tr>
            
            </table></div>';
        }
    }else{
        echo '<div class="divtablalogin"><table><tr><th>Usuario no existente en la base de datos</th></tr><tr>
        <th><div align="middle"><a href="login.php">Inicio</a></div></th><tr>
        
        </table></div>';
    }
    mysql_free_result($result);
}else{
    echo '<div class="divtablalogin"><table><tr><th>Debe especificar un usuario y password</th></tr><tr><th><div align="middle"><a href="login.php">Inicio</a></div></th></tr></table></div>';
}
mysql_close();
?>

Luego para mostrar la session iniciada en el index.php uso:

Código PHP:

Ver original<?php
echo 'Bienvenido, ';
if (isset($_SESSION['k_username'])) {
    echo '<b>'.$_SESSION['k_username'].'</b>.';
    echo '<p><a href="http://.../logout.php">Cerrar Sesión</a></p>';
}
?>

Como deberia arreglar mi codigo??

#6 (**permalink**) 01/08/2013, 17:22

segun tienes el index ,en el if haz un else con una redireccion a login , en el caso de que no quieras que se acceda sin estar logueado

diego_weichafe · #7 (**permalink**) 01/08/2013, 17:46

no me funciona amigo...sigue entrando igual

#8 (**permalink**) 01/08/2013, 17:50

has puesto session_start() al principio?

diego_weichafe · #9 (**permalink**) 01/08/2013, 17:52

si...por que tengo un archivo "header.php" que esta incluido siempre al inicio con

Código PHP:

Ver original<?php include("head.php"); ?>

que incluye dentro

Código PHP:

Ver original<?php
ob_start(); // outer buffer 
ob_start(); // inner buffer to catch URL rewrites and other post processing 
session_start();
?>

#10 (**permalink**) 01/08/2013, 17:57

justo despues del head.php pon var_dump($_SESSION); para testear si llega la session y dime el resultado y si puede ser pon el codigo index.php con lo que hiciste

diego_weichafe · #11 (**permalink**) 01/08/2013, 18:18

Esto me sale:

Código HTML:

Ver originalarray (size=1)
  'k_username' => string '16883597-3' (length=10)

El valor "16883597-3" es el usuario que ingresé previamente.

Voy a responderte todo el esquema hasta que se logra el logeo:

1.- para ingresar y colocar los datos "login.php"

Código HTML:

Ver original<?php
ob_start(); // outer buffer 
ob_start(); // inner buffer to catch URL rewrites and other post processing 
session_start();
?>
<head>
<title>NUEVO PROVEEDOR</title>
<link href="sisprod/style.css" rel="stylesheet" type="text/css">
</head>
 
<body>
<div class="divtablalogin">
<img src="sisprod/img/logoxxx.jpg">
 
<table>
  <form action="validar_usuario.php" method="post" name="form1">
   <tr>
     <th width="136">Rut
       </th>
     <td width="302"><input name="usuario" type="text" maxlength="200" id="rut"/></td>
    </tr>
  <tr>
    <th>Clave
      </th>
    <td><input name="password" type="password" maxlength="200" id="clave"/></td>
    </tr>
   
    <tr>
    <td colspan="2" align="center"><input type="submit" value="ENTRAR" /></td>
    </tr>
  </form>
  </table>
  </div>
  <br>
  <div class="divtablalogin0"> <a href="trab_portal/login.php"><img src="img/bot_sis_tra.jpg" width="400" height="114"></a> </div>
  <br/>
</body>
</html>

2.- luego (en el mismo directorio) se verifica que los datos esten correctos en "validar_usuario.php"

Código PHP:

Ver original<?php
ob_start(); // outer buffer 
ob_start(); // inner buffer to catch URL rewrites and other post processing 
session_start();
?>
<link href="sisprod/style.css" rel="stylesheet" type="text/css"><?php
//datos para establecer la conexion con la base de mysql.
mysql_connect('localhost','root','xxx')or die ('Ha fallado la conexión: '.mysql_error());
mysql_select_db('zzz')or die ('Error al seleccionar la Base de Datos: '.mysql_error());
function quitar($mensaje)
{
    $nopermitidos = array("'",'\\','<','>',"\"");
    $mensaje = str_replace($nopermitidos, "", $mensaje);
    return $mensaje;
}
if(trim($_POST["usuario"]) != "" && trim($_POST["password"]) != "")
{
    // Puedes utilizar la funcion para eliminar algun caracter en especifico
    //$usuario = strtolower(quitar($HTTP_POST_VARS["usuario"]));
    //$password = $HTTP_POST_VARS["password"];
    // o puedes convertir los a su entidad HTML aplicable con htmlentities
    $usuario = strtolower(htmlentities($_POST["usuario"], ENT_QUOTES));
    $password = $_POST["password"];
    $passwordMD5 = MD5($password);
    $result = mysql_query('
    SELECT 
    zzz.admin.clave,
    zzz.admin.rut 
    FROM zzz.admin 
    WHERE rut=\''.$usuario.'\'');
    if($row = mysql_fetch_array($result)){
        if($row["clave"] == $passwordMD5){
            $_SESSION["k_username"] = $row['rut'];
            
            echo'
            <div class="divtablalogin">
            <table><tr><th>Has sido logueado correctamente</th></tr><tr><th>'.$_SESSION['k_username'].'</th></tr>
            <tr><th>PRESIONE EL ENLACE</th></tr>
            <tr>
        <th><div align="middle"><a href="sisprod/index.php">Entrar al Sistema</a></div></th><tr></table></div>';
            
            
            //Elimina el siguiente comentario si quieres que re-dirigir automáticamente a index.php
            /*Ingreso exitoso, ahora sera dirigido a la pagina principal.
            <SCRIPT LANGUAGE="javascript">
            location.href = "index.php";
            </SCRIPT>*/
        }else{
            echo '<div class="divtablalogin"><table><tr><th>Password incorrecto</th></tr>
            <tr>
        <th><div align="middle"><a href="login.php">Inicio</a></div></th><tr>
            
            </table></div>';
        }
    }else{
        echo '<div class="divtablalogin"><table><tr><th>Usuario no existente en la base de datos</th></tr><tr>
        <th><div align="middle"><a href="login.php">Inicio</a></div></th><tr>
        
        </table></div>';
    }
    mysql_free_result($result);
}else{
    echo '<div class="divtablalogin"><table><tr><th>Debe especificar un usuario y password</th></tr><tr><th><div align="middle"><a href="login.php">Inicio</a></div></th></tr></table></div>';
}
mysql_close();
?>

diego_weichafe · #12 (**permalink**) 01/08/2013, 18:19

3.- si todo esta bien te deja apretar el enlace para irte al siguiente directorio. Los 2 archivos anteriores que he mostrado estan en el "root/". Ahora el link nos llevara a "root/sisprod/", este es justamente el directorio que no quiero que se pueda ingresar a ningun archivo que este dentro, sin que pase previamente por el login. Ahora estamos en "root/sisprod/index.php"

Código PHP:

Ver original<?php include("head.php"); 
 var_dump($_SESSION);
?>
<body>
<?php include("nav.php"); ?>
<div class="cuerpo" id="cuerpo">    
   <div class="contenido">
    <div class="tabla_campos">   
 
<div style="
background: #ffffff; /* Old browsers */
background: -moz-linear-gradient(top,  #ffffff 0%, #e5e5e5 100%); /* FF3.6+ */
background: -webkit-gradient(linear, left top, left bottom, color-stop(0%,#ffffff), color-stop(100%,#e5e5e5)); /* Chrome,Safari4+ */
background: -webkit-linear-gradient(top,  #ffffff 0%,#e5e5e5 100%); /* Chrome10+,Safari5.1+ */
background: -o-linear-gradient(top,  #ffffff 0%,#e5e5e5 100%); /* Opera 11.10+ */
background: -ms-linear-gradient(top,  #ffffff 0%,#e5e5e5 100%); /* IE10+ */
background: linear-gradient(to bottom,  #ffffff 0%,#e5e5e5 100%); /* W3C */
filter: progid:DXImageTransform.Microsoft.gradient( startColorstr='#ffffff', endColorstr='#e5e5e5',GradientType=0 ); /* IE6-9 */
 
-moz-box-shadow:rgba(0, 0, 0, 0.682353) 0px 0px 14px 2px;
box-shadow:rgba(0, 0, 0, 0.682353) 0px 0px 14px 2px;
-webkit-border-radius:10px;
-moz-border-radius:10px;
width:auto;
 
">
<img style="margin:10px 0 10px 240px" src="img/logoxxx.png">
</div>
</div>
</div>
</div>
</div>
</body>
 
</html>

4.- aca incluyo el archivo "header.php", que es donde se aloja session_start();

Código PHP:

Ver original<?php
ob_start(); // outer buffer 
ob_start(); // inner buffer to catch URL rewrites and other post processing 
session_start();
?>
<!DOCTYPE html>
<html lang="en">
    <head>
        <link href='http://fonts.googleapis.com/css?family=Droid+Sans' rel='stylesheet' type='text/css'>
        <meta charset="utf-8">
        <title>Servicio de Contenedores xxx Ltda.</title>
        <link href="style.css" media="screen" rel="stylesheet" type="text/css" />
        <link href="iconic.css" media="screen" rel="stylesheet" type="text/css" />
        <script src="script/prefix-free.js"></script>
        <script src="script/jquery-1.6.1.js"></script>
        
        <script type="text/javascript">
$(document).ready(function() {
    $('input[type=checkbox]').live('click', function(){
        var parent = $(this).parent().attr('id');
        $('#'+parent+' input[type=checkbox]').removeAttr('checked');
        $(this).attr('checked', 'checked');
    });
});
</script>
 
<script>
var no_digito = /\D/g;
</script>
 
<script language="JavaScript"> 
<!-- 
var nav4 = window.Event ? true : false; 
function acceptNum(evt){  
// NOTE: Backspace = 8, Enter = 13, '0' = 48, '9' = 57  
var key = nav4 ? evt.which : evt.keyCode;  
return (key <= 13 || (key >= 48 && key <= 57) || key==46); 
} 
//--> 
</script>
 
 
 
<script type="text/javascript"> 
$(document).ready(function(){ 
$("#tra_dctos_detalle_div1 a").each(function(){ 
var href = $(this).attr("href"); 
$(this).attr({ href: "#"}); 
$(this).click(function(){ 
$("#tra_dctos_detalle_div2").load(href); 
}); 
}); 
}); 
</script>
 
<script>
function enviar_1(){
  document.form_enviar1.submit()
}
 
function enviar_2(){
  document.form_enviar2.submit()
}
function enviar_3(){
  document.form_enviar2.submit()
}
function enviar_4(){
  document.form_enviar1.submit()
}
 
 
 
 
</script>
 
 
<script language="javascript">
    function validar()
    {
        var ref1 = document.getElementById("a");
        var ref2 = document.getElementById("b");
        var ref3 = document.getElementById("c");
        var ref4 = document.getElementById("ans"); 
    
 
        if(ref1.value>=0 && ref2.value>=0 && ref3.value>=0)
        {
           ref4.value = parseFloat(ref1.value) +  parseFloat(ref2.value) - parseFloat(ref3.value);
        }
    }
</script>
 
<script type="text/javascript">
$(document).ready(function() {
    
$("#tooltip1").mouseover(function(){
eleOffset = $(this).offset();
$(this).next().fadeIn("fast").css({
left: eleOffset.left + $(this).outerWidth(),
top: eleOffset.top
});
}).mouseout(function(){
$(this).next().hide();
});
 
$("#tooltip2").mouseover(function(){
eleOffset = $(this).offset();
$(this).next().fadeIn("fast").css({
left: eleOffset.left + $(this).outerWidth(),
top: eleOffset.top
});
}).mouseout(function(){
$(this).next().hide();
});
 
});     
</script>
<script> 
function operar5() { 
var d61 = parseInt(document.getElementById("tot61").value);
var d62 = parseInt(document.getElementById("tot62").value);
var d63 = parseInt(document.getElementById("tot63").value);
var d64 = parseInt(document.getElementById("tot64").value);
var d65 = parseInt(document.getElementById("tot65").value);
var d66 = parseInt(document.getElementById("tot66").value);
var d67 = parseInt(document.getElementById("tot67").value);
var d68 = parseInt(document.getElementById("tot68").value);
var d69 = parseInt(document.getElementById("tot69").value);
var d610 = parseInt(document.getElementById("tot610").value);
document.getElementById("tot63").value=d61*d62;
document.getElementById("tot65").value=d64-d63;
document.getElementById("tot68").value=d66*d67; 
document.getElementById("tot610").value=d69-d68;
} 
</script>
 
 
    </head>
<?php
$conexion=mysql_connect("localhost","servicw9_root","xxx_2013");
mysql_select_db("usuarios",$conexion);
if (!$conexion) {
die('No se puede conectar: ' . mysql_error());}
?>

5.- y aca incluyo el archivo "nav.php" que es donde se comprueba siempre quien tiene la session iniciada (al final del codigo):

Código PHP:

Ver original<div class="wrap" id="menus">
    
    <nav>
        <ul class="menu">
            <li><a href="index.php"><span class="iconic home"></span>Inicio</a></li>
            <li><a href=""><span class="iconic user"></span>Trabajadores</a>
                <ul>
                    <li><a href="tra_fictra.php">Agregar / Modificar Ficha Trabajador</a></li>
                    <li><a href="tra_dctos.php">Descuentos Legales</a></li>
                    <li><a href="tra_otros_dctos.php">Otros Descuentos</a></li>
                    <li><a href="tra_preliq.php">Pre Liquidación</a></li>
                   
                </ul>
            </li>
            <li><a href="#"><span class="iconic new-window"></span>Categorías</a>
                <ul>
                    <li><a href="cat_marca.php">Marcas contenedores</a></li>
                    <li><a href="cat_armador.php">Armadores</a></li>
                    <li><a href="cat_valortc.php">Valor Dolar</a></li>
                    <li><a href="cat_valorhh.php">Valor H/H por función</a></li>
                </ul>
            </li>
            <li><a href="#"><span class="iconic bolt"></span> Produción</a>
                <ul>
                    <li><a href="prod_nprod.php">Ingresar / Consultar Producción</a></li>
                    <li><a href="prod_asig_esp.php">Asignación Especial en CLP$</a></li>
                </ul>
            </li>
            <li><a href="#"><span class="iconic magnifying-glass"></span>Busqueda</a>
                <ul>
                    <li><a href="busq_1i.php">Todos los contenedores del número</a></li>
                    
                    <li><a href="busq_2i.php">Todos los contenedores de la marca</a></li>
                    <li><a href="busq_3i.php">Todos los contenedores del armador</a></li>
                    <li><a href="busq_4i.php">Todos los otros descuentos pertenecientes a la categoría</a></li>
                    <li><a href="busq_5i.php">Todos los otros descuentosentre fechas</a></li>
                    <li><a href="busq_6i.php">Producción general entre fechas</a></li>
                </ul>
            </li>
            <li><a href="#"><span class="iconic info"></span>Sobre el Software</a>
                <ul>
                    <li><a href="sobre.php">Información</a></li>
                </ul>
            </li>
        </ul>
        <div class="identif" align="right"> <?php
echo 'Bienvenido, ';
if (isset($_SESSION['k_username'])) {
    echo '<b>'.$_SESSION['k_username'].'</b>.';
    echo '<p><a href="../logout.php">Cerrar Sesión</a></p>';
}
?></div>
        <div class="clearfix"></div>
    </nav>
    </div>

#13 (**permalink**) 01/08/2013, 18:26

en ningun lado veo que pusieras la redireccion a login .

justo donde pusiste el var_dump() hay es donde tiene que estar la verificación o mas bien justo despues de session_start en head.php

if(empty($_SESSION['k_username'])){ header('location:../login.php');}

diego_weichafe · #14 (**permalink**) 01/08/2013, 19:11

casi amigo... casi funciona..

Mira.. en "/root/sisprod/index.php" coloque lo siguiente al inicio del codigo (quité el vardump)

Código PHP:

Ver original<?php include("head.php"); 
 if(empty($_SESSION['k_username'])){ header('location:../login.php');}
?>
<body>
<?php include("nav.php"); ?>
<div class="cuerpo" id="cuerpo">    
   <div class="contenido">
    <div class="tabla_campos">
...
...
...
...

Y no funciona... luego con un pequeño cambio, en vez de "empty($_SESSION"... use "!empty($_SESSION"...y ahí si funcionó.. si coloco el link "/root/sisprod/index.php" sin antes haber logeado me devuelve de inmediato a el "login.php"... solo que cuando me logeo correctamente y voy a "validar_usuario.php" y me arroja el mensaje de que esta todo bien... luego apreto el link para ir a "/root/sisprod/index.php" y se vuelve a ejecutar el codigo que me diste... no se por que...en pocas palabras... me devuelve al login.php

#15 (**permalink**) 02/08/2013, 02:16

haber no puedes usar !empty por que no es logico, la logica es , si no existe o no tiene el valor esperado $_SESSION['k_username'] me envias a login.

if(!isset($_SESSION['k_username']) || empty($_SESSION['k_username']) ){ header('location: login.php'); exit; }

bueno asi funciona seguro , hecha un vistazo al manual sobre isset y empty