Seguridad de acceso

karenlorenadg · #1 (**permalink**) 14/01/2011, 10:31

Hola, tengo un formulario de login que ustedes bien sabe como funciona ese sistema. que consulta si el usuario y contraseña existen en la base de datos le da accedo, de lo contrario lo deniega.

bueno, pero tengo una duda, yo enlazo ese login si es valido los datos a un archivo de registro de usuario registro.php, pero me parece muy obvio ya que si conoces la ruta puedes ingresar directamente a este archivo sin pasar por el login. Lo que yo quiero es que si alguien hace esta acción, el sistema lo obigue a pasar por el login y meter los datos válidos, de los contrario no podrá acceder a ese archivo registro.php ni a todos los archivos de consultas del sistema.

mi archivo login es el siguiente

Código PHP:

Ver original<?
//conecto con la base de datos
require_once("conec.php");
//Sentencia SQL para buscar un usuario con esos datos
$ssql = "SELECT * FROM login WHERE nombre_usuario='$usuario' and clave_usuario='$contrasena'";
 
//Ejecuto la sentencia
$rs = mysql_query($ssql,$con);
 
//vemos si el usuario y contraseña es váildo
//si la ejecución de la sentencia SQL nos da algún resultado
//es que si que existe esa conbinación usuario/contraseña
if (mysql_num_rows($rs)!=0){
    //usuario y contraseña válidos
    //defino una sesion y guardo datos
    session_start();
    session_register("autentificado");
    $autentificado = "SI";
echo "<script type='text/javascript'>
            alert('Datos correctos - RECUERDE: El buen funcionamiento del sistema depende ahora de usted');
            window.location='regristro.php';
            </script>"; 
}else {
    //si no existe le mando otra vez a la portada
echo "<script type='text/javascript'>
            alert('Los datos ingresados no existen en la base de datos');
            window.location='index.php';
            </script>";
     
}
mysql_free_result($rs);
mysql_close($con);
?>

La idea es que si alguien entra directamente al registro.php le deniege el acceso.

areslepra · #2 (**permalink**) 14/01/2011, 11:18

Busca sobre el uso de sessiones en PHP y con eso vas a poder solucionar tu problema.

arros · #3 (**permalink**) 14/01/2011, 13:08

lo que tienes que hacer es crear una function vali_login() donde se valida la contraseña y unsername en caso contrario se redirecciona a la pagina de login o se imprime el formulario de login en la misma pagina

Heli0s · #4 (**permalink**) 14/01/2011, 13:12

Cita:

Iniciado por arros

lo que tienes que hacer es crear una function vali_login() donde se valida la contraseña y unsername en caso contrario se redirecciona a la pagina de login o se imprime el formulario de login en la misma pagina

Veo que no entendiste muy bien su problema.

Tu problema se soluciona con el uso de sessiones como te dijeron, o cookies, preferiblemente usaria sessiones.

Aqui tienes la sección de sessiones del manual oficial de PHP.

Un saludo

fernandozunni · #5 (**permalink**) 14/01/2011, 14:47

Hola, por un tema de seguridad es mejor no chequear el password en la sentencia sql.
Mejor es chequear solo el usuario, traer los datos y chequear el password con php.