me recomiendan $_SESSION o tablas mysql?

tattojk · #1 (**permalink**) 23/05/2013, 14:46

Cordial saludo.

Estoy trabajando con PHP 5.3.1 y mysql 5.1.41; he creado mis tablas para el modulo de seguridad para implementarlo en un formulario de ingreso; todo bien hasta ahi; estoy pensando hacer lo siguiente:

En el formulario de ingreso si la persona digita los datos de logueo correctos guardo en una tabla aparte los permisos de ese usuario; el problema es que si el usuario no le da click al boton salir de algún formulario del aplicativo siguira activo. He pensado validar que si intenta entrar a un formulario pero si el dia es diferente al que se logueo lo obligue a loguearse nuevamente.

Me recomendaron que utilizara variables de session para guardar dichos datos, pero a la vez me han dicho que no es muy seguro utilizar $_SESSION.

Que me recomiendan hacer???

Agradezco la ayuda y sugerencias que me puedan brindar.

alex1084 · #2 (**permalink**) 23/05/2013, 14:50

Mira las sesiones si son seguras pero no están hechas para almacenar datos como una BD, además las sesiones una vez cerrado el navegador se destruyen....

bulter · #3 (**permalink**) 23/05/2013, 15:47

Cita:

Iniciado por alex1084

Mira las sesiones si son seguras pero no están hechas para almacenar datos como una BD, además las sesiones una vez cerrado el navegador se destruyen....

Cita:

las sesiones si son seguras

No ...

Cita:

además las sesiones una vez cerrado el navegador se destruyen

No obligatoriamente :/

Si las sesiones se te destruyen al cerrar el browser es por que lo tienes configurado de esta forma en el PHP INI.
La primera configuración es session.cookie-lifetime si es 0 ( que por cierto es su valor by default ) la sesion se destruye al cerra el navegador.
Pero si le pones 3600 vivira 1 hora aun que cierres el navegador.
OJO no es solo esta configuracion, aparte tienes la session.gc_maxlifetime, es decir cada cierto tiempo que la sesion esta sin usar se vera como basura/innecesaria y sera eliminada por el garbage collector del php.
Esto por una parte.
Por otra .. Las sesiones son seguras ? Sih claro ... en algun sueño mio :))
Te aconsejo que leas algo sobre:Sniffing, Session fixation,Session injection, Session hijacking,Forwarding trac to SSL,SSL-Session hijacking
Bueno creo que son estos de momento no se me ocurra otro.

Saludos :)

tattojk · #4 (**permalink**) 23/05/2013, 16:10

Cordial saludo.

Gracias por responder tan rapido este tema y a bulter por actualizarme no sabia que habia tantos ataques, por lo que lei se debe implementar SSL?? o me equivoco??

Muy buena literatura pero aun no se que metodo implementar para que sea seguro el ingreso y los formularios del aplicativo.

Agradezco la ayuda y sugerencias que me puedan brindar.

bulter · #5 (**permalink**) 23/05/2013, 16:56

Mmmm, es un tema demasiado largo para sentarme y empezar a explicar, tampoco me mola escribir tanto :| Pero si que te busque unos cuantos materiales a los que puedes echar un ojo y asi te haces una idea.

Libro:
-------------------
http://blog.hboeck.de/uploads/ssl-cookies.pdf

Videos:
---------------------
http://www.youtube.com/watch?v=TOMLpOSlkto
http://www.youtube.com/watch?v=gjmODUkh3_o
http://www.youtube.com/watch?v=D_hypZGNa3M

Espero que te valgan y que te aclares un poco :)

Salidos