Seguridad contraseña en archivo php

YeisonSoto · #1 (**permalink**) 27/08/2011, 21:49

Hola amigo, tengo un inconveniente con una contraseña y un usuario que he puesto en un archivo php, no en la base de datos como deberia ser para hacer un logeo:

Código PHP:

Ver original<?php
session_start();
 
if($_POST['txtusuario'] !='' AND $_POST['txtcontraseña'] !='') {
    if($_POST['txtusuario'] =='admin' and $_POST['txtcontraseña'] == 'admin') {
        $_SESSION['admin'] = $_POST['txtusuario'];
    } else {
        $_SESSION['error'] ='Login incorrecto';
        header('location:Administrador.php');
    }
} 
 
?>

Y me pregunto como puedo hacer para ponerle un poco de seguridad y que la contraseña no pueda ser vista facilmete, en caso de que alguna persona pueda tener acceso a este archivo que contiene estos datos

Gracias por la ayuda que me puedan dar......

Sourcegeek · #2 (**permalink**) 27/08/2011, 21:58

El código fuente de un archivo PHP no se puede ver nativamente, no tienes nada de qué preocuparte. Si aún así quieres tener seguridad, puedes hacerle md5() a ambos datos, luego los pones en lugar de ellos mismos. Algo así:

Código PHP:

Ver originalif ($_POST['txtusuario'] == 'tuhashmd5deusuario' && $_POST['txtcontraseña'] == 'tuhashmd5decontrasena') {...

Además, no compares variables con cadenas vacías, para eso sirve empty()

Saludos!

YeisonSoto · #3 (**permalink**) 27/08/2011, 22:52

Cita:

Iniciado por Sourcegeek

El código fuente de un archivo PHP no se puede ver nativamente, no tienes nada de qué preocuparte. Si aún así quieres tener seguridad, puedes hacerle md5() a ambos datos, luego los pones en lugar de ellos mismos. Algo así:

Código PHP:

Ver originalif ($_POST['txtusuario'] == 'tuhashmd5deusuario' && $_POST['txtcontraseña'] == 'tuhashmd5decontrasena') {...

Además, no compares variables con cadenas vacías, para eso sirve empty()

Saludos!

Gracias amigo, es algo parecido a ofuscar el codigo??

Sourcegeek · #4 (**permalink**) 27/08/2011, 23:14

Hmmm no.
Mira, en un archivo PHP aparte, haz algo así:

Código PHP:

Ver originalecho md5('aqui pones tu usuario').'<br />'.md5('aqui pones tu password');

Te van a salir dos líneas con muchas letras, bien? Esos se llaman hash, son tu usuario y contraseña hasheados. Un hash como md5 es imposible de revertir (volver a la normalidad) a menos que se use fuerza bruta, y aún así tardaría muucho tiempo.
Ahora en tu código, pon ésto llenando donde se te indica:

Código PHP:

Ver originalif (md5($_POST['txtusuario']) == 'tuhashmd5deusuario' && md5($_POST['txtcontraseña']) == 'tuhashmd5decontrasena') {...

Y listo! Cualquiera que de alguna forma vea tu archivo, no podrá adivinar tu contraseña porque está hasheada

Saludos!

YeisonSoto · #5 (**permalink**) 29/08/2011, 11:34

Cita:

Iniciado por Sourcegeek

Hmmm no.
Mira, en un archivo PHP aparte, haz algo así:

Código PHP:

Ver originalecho md5('aqui pones tu usuario').'<br />'.md5('aqui pones tu password');

Te van a salir dos líneas con muchas letras, bien? Esos se llaman hash, son tu usuario y contraseña hasheados. Un hash como md5 es imposible de revertir (volver a la normalidad) a menos que se use fuerza bruta, y aún así tardaría muucho tiempo.
Ahora en tu código, pon ésto llenando donde se te indica:

Código PHP:

Ver originalif (md5($_POST['txtusuario']) == 'tuhashmd5deusuario' && md5($_POST['txtcontraseña']) == 'tuhashmd5decontrasena') {...

Y listo! Cualquiera que de alguna forma vea tu archivo, no podrá adivinar tu contraseña porque está hasheada

Saludos!

Gracias, asi lo hice:

Código PHP:

Ver originalif(md5($_POST['txtusuario']) == '21232f297a57a5a743894a0e4a801fc3' && md5($_POST['txtcontraseña']) == '21232f297a57a5a743894a0e4a801fc3') {
        $_SESSION['admin'] = $_POST['txtusuario'];
    } else {
        $_SESSION['error'] ='Login incorrecto';
        header('location:Administrador.php');
    }

Hay alguna forma de que descubran cual es contraseña hay ahí????

pateketrueke · #6 (**permalink**) 29/08/2011, 11:56

Cita:

Iniciado por YeisonSoto

[...] Hay alguna forma de que descubran cual es contraseña hay ahí????

No, pues MD5 es realmente seguro aunque podría darse el caso.

Para eso es mejor usar SHA1, que es miles de veces mas seguro que MD5.