Que la página del admin solo la pueda visualizar el administrador

rachpts · #1 (**permalink**) 13/03/2014, 11:29

Amigos estoy haciendo un sistema trabajando con sesiones para que asi el administrador vea todos los reportes y los usuarios normales solo tengan acceso a sus propios reportes, mi problema es que si el usuario normal conoce el nombre del link del administrador lo puede ver sin problemas, ojala me puedan ayudar
Gracias!

ocp001a · #2 (**permalink**) 13/03/2014, 11:36

Usa sesiones y permisos (y el buscador)

PHPeros · #3 (**permalink**) 13/03/2014, 11:38

Puedes crear una tabla en tu DB con los nombres de los usuarios que sí tienen acceso y a la hora de acceder a ese apartado haces la petición y si no hay resultados lanzar un mensaje de aviso.

hhs · #4 (**permalink**) 13/03/2014, 11:40

Cita:

Iniciado por rachpts

Amigos estoy haciendo un sistema trabajando con sesiones para que asi el administrador vea todos los reportes y los usuarios normales solo tengan acceso a sus propios reportes, mi problema es que si el usuario normal conoce el nombre del link del administrador lo puede ver sin problemas, ojala me puedan ayudar
Gracias!

Eso lo logras clasificando tus usuarios y después mediante un if comprobar que el usuario es de esa clasificación
Ejemplo:

Código HTML:

Ver originalif($user->isAdmin()){
//hacer lo del adminitrador
}

En terminos generales tienes que comprobar que el usuario que intenta acceder a la pagina, rutina, o bloque de codigo sea el que esperas.

alexisverano · #5 (**permalink**) 13/03/2014, 11:42

Como te dijo ocp001a usando sessiones, puedes poner algo como esto en el inicio de las paginas del administrador:

Código PHP:

Ver originalsession_start();
if (isset($_SESSION['usuario']) != 'Admin') 
header("Location: ../index.php");

rachpts · #6 (**permalink**) 13/03/2014, 11:54

miren les pongo mi codigo que muestra la autentificación del usuario

<?php
include "conexion.php";

$usuario_nombre = mysql_real_escape_string($_POST['usuario_nombre']);
$usuario_clave = mysql_real_escape_string($_POST['usuario_clave']);
$sql = "SELECT usuario_id, user, pass, permiso FROM usuarios WHERE user='".$usuario_nombre."' AND pass='".$usuario_clave."'";
$result = mysql_query($sql) or die("Imposible verificar al usuario por el error: " . mysql_error());
$dato = mysql_fetch_array($result);
if(mysql_num_rows($result) == 1){
//usuario y contraseña válidos
//session_name("loginusuario");
//asigno un nombre a la sesión para poder guardar diferentes datos
session_start();
//session_set_cookie_params(0, "/", $HTTP_SERVER_VARS["HTTP_HOST"], 0);
//cambiamos la duración a la cookie de la sesión
// inicio la sesión
$_SESSION["autentificado"]= "SI";
$_SESSION["user"]= $dato['user'];
$_SESSION["permiso"]= $dato['permiso'];
//defino la sesión que demuestra que el usuario está autorizado
$_SESSION["ultimoacceso"]= date("Y-n-j H:i:s");

if($_SESSION["permiso"]=='1')//verifica permiso
header("Location:admin.php");//redireccionamiento;
else
if($_SESSION["permiso"]=='2')
header("Location:inicio.php");//redireccionamiento;

}else {
//si no existe le mando otra vez a la portada
header("Location: login.php?errorusuario=si");
}

?>

la cuestion es que si el usuario normal conoce el link del adminisitrador igual se puede meter y es lo que necesito evitar

evolutionrgm · #7 (**permalink**) 13/03/2014, 12:31

tu problema es de facil solucion lo que deberias hacer es 2 menu uno para los usuario y el otro para el administrador y en el campo usuarios agregar un campo que se llame privilegios ej admin es 1 y user 2
entonces cuando el usuario se loguee guarda la variable privilegio
entonces por ejemplo cuando tengas que CARGAR el menu lo llamas asi

Código PHP:

Ver original<?php
          
    if ($tipo =="1"){
        include("madmin.php"); 
    }
 if ($tipo =="2"){
        include("user.php"); 
    }
 
 ?>

rachpts · #8 (**permalink**) 14/03/2014, 11:55

me sigue pasando lo mismo :s al iniciar sesion si me manda a la pagina del administrador o del usuario normal pero lo malo es que si el usuario normal sabe el link del admin puede tener acceso, alguien que me pueda explicar ?

Dalam · #9 (**permalink**) 14/03/2014, 12:10

Cita:

Iniciado por rachpts

me sigue pasando lo mismo :s al iniciar sesion si me manda a la pagina del administrador o del usuario normal pero lo malo es que si el usuario normal sabe el link del admin puede tener acceso, alguien que me pueda explicar ?

El problema no lo tienes en este script.
El script esta bien planteado y ejecutado, el problema seguro que esta en el script de admin.php
El problema es que el script admin.php no sabe lo que has hecho antes de la redireccion y debes comprobar el valor de acceso para usar tu sistema de seguridad
podrias incluir esto
Para admin.php

Código PHP:

  if(isset($_SESSION["permiso"]) && $_SESSION["permiso"] !== '1') 
header("Location:inicio.php"); 
//Aqui todo el codigo a ejecutar si se poseen permiso de tipo administrador

De este modo aunque accedan al script por url se le redireccionara si no existe la variable de permiso o tiene un valor distinto al admitido.

Antes de que me preguntes, esto lo debes incluir al principio del script admin.php justo en la linea de despues de session_start();

Te aconsejo que sean las primeras lineas que tengas en tu script para que no envie al navegador ningun mensaje y la redireccion en caso de falta de permisos pueda realizarse sin problemas.

rachpts · #10 (**permalink**) 14/03/2014, 13:21

Dalam Gracias por la ayuda ya lo hice como me dijiste y no me funciona

alguna otra idea?

evolutionrgm · #11 (**permalink**) 14/03/2014, 13:26

mira yo tuve que hacer una intranet con muchas jerarquias de usuarios y cada uno entra a un portal en el control del loguin hago esto

Código PHP:

Ver original<?php
include("conexion.php");// hacemos una conexion a la bd
foreach($HTTP_POST_VARS as $key => $value)
${$key}=$value;
//Llamada a funcion conexión y selección de bd.
conectar();
$rut = $_POST["rut"];
/*Quita puntos retorno funcion rut*/
$rut= str_replace('.', '', $rut); 
$clave = $_POST["clave"];
$clave = md5($clave);
 
if (($rut != "") && ($clave !="" )){
    //realizamos una consulta a la bd
    $query = mysql_query("select * from usuarios where rut='$rut' and clave='$clave'");
 
    //definimos un array
    $array = mysql_fetch_array($query);
 
    //realizamos un array de los campos que contienen el usuario y la contraseña
    $arut = ($array["rut"]);
    $aclave = ($array["clave"]);
    $atipo = ($array["tipo"]);
    //vemos si el usuario y contraseña es váildo
    //llamamos los arrays en las siguiente linea.
    if ($rut==$arut && $clave==$aclave){
        //usuario y contraseña válidos
        //defino una sesion y guardo datos
        session_start();
        
        $autentificado = "SI";
        $_SESSION["autentificado"] = $autentificado;
        $_SESSION["coduser"] = $rut;
        $_SESSION["tipo"] = $atipo;
        
        /* agrego la funcion para poder re dirigir de acuerdo al tipo de usuario  */ 
        //redirijo al archivo 
        if ($atipo==0){
            header ("Location: index.php");
            exit;
        }
        if ($atipo==1){
            echo"va ser re dirigido a panel de administrador";
            header ("Location: indexad.php"); 
            exit;
        }
        if ($atipo==2){
        echo"va ser re dirigido a panel de secretaria"; 
        header ("Location: index.php"); 
        exit;
        }
        if ($atipo==3){
            echo"va ser re dirigido a panel de jefatura";
        header ("Location: indexjd.php");
        exit;
        }
        if ($atipo==4){
            echo"va ser re dirigido a panel de jefe de dpto";
        header ("Location: indexja.php");
        exit;
        }
        if ($atipo==5){
            echo"va ser re dirigido a panel de jefe de dpto";
        header ("Location: indexrrhh.php");
        exit;
        }
        if ($atipo==6){
            echo"va ser re dirigido a panel de jefe de dpto";
        header ("Location: index2.php");
        exit;
        }
 
//finalizo el recorrido de la variable      
    //  header ("Location: index.php");
        //exit;
    }else{
        //si no existe mando otra vez a la portada
        header("Location: inicio.php?e=s");
        exit;
    }
}else{
    //si no existe  mando otra vez a la portada
    header("Location: inicio.php?e=s");
}
?>

Dalam · #12 (**permalink**) 14/03/2014, 13:26

entonces prueba asi

Código PHP:

Ver originalif(isset($_SESSION["permiso"]) && $_SESSION["permiso"] !== '1'){
header("Location:inicio.php");
exit(0);
}
//Aqui todo el codigo a ejecutar si se poseen permiso de tipo administrador

rachpts · #13 (**permalink**) 14/03/2014, 17:10

Gracias a todos por la ayuda... Dalam muchas gracias ya lo hice como me dijiste y ya no me deja ver lo del administrador pero me carga un mensaje "Esta página web tiene un bucle de redireccionamiento" voy a ver la manera de quitar este error pero muchas gracias