Seguridad en PHP

Anarninquë · #1 (**permalink**) 17/11/2006, 06:31

Hola amigos, estoy desarrollando (o por desarrollar un panel de administración de contenidos para un sitio web), desde allí se podrá editar todo el contenido del sitio, por lo que me he puesto a leer sobre seguridad antes de empezar.

O sea habrá un formulario de loggeo (desde otro dominio), que te enviará al panel de control.
Estoy un poco confuso, he visto que me conviene usar sesiones, que se propaguen por cookies (segun he estado leyendo).
Vi un post de cluster (bueno, vi varios

), pero uno que explicaba como usar ini_set, etc.

Estoy un poco confuso a la hora de aplicar propiamente las sesiones..

basta con sólo poner un:

Código PHP:

  session_start();

 
if(!isset($_SESSION['usuario']))

{

 header("Location: login.php");

}

¿¿¿???

Lo que debo proteger será sólo un archivo php donde estarán todas las secciones del panel de control

espero alguna orientación...
Muchas gracias

Cluster · #2 (**permalink**) 17/11/2006, 08:19

Si hablas de que vas hacer un "login" desde -otro- dominio .. recuerda que las sesiones o cookies son sólo válidas para el domino que contiene tus scritps (tu "panel de control" en sí).

En principio .. para el uso de sesiones te sobraría como propones:

Un script donde valides a tu usuario y definas tu variable de sesión:

autentificacion.php

Código PHP:

  <?

session_start();

// etc ...

if (....){

  $_SESSION['usuario'] == $usuario;

   header("Location: panel_de_control.php");

   exit;

} else {

   header ("Location: login.php");

   exit;

}

 
?>

panel_de_control.php

Código PHP:

  <?

session_start(); 

 
if(!isset($_SESSION['usuario'])) 

{ 

 header("Location: login.php"); 

 exit;

}

 
// resto de tu script ...

El tema de "propagar el SID" en cookies o del "ini_set()" se usa para "forzar" a PHP a que propague el SID en esa modalidad. Así como "redireccionamos" en este código de ejemplo (con header() de tipo Location) y sin mencionar al SID en ninguna parte (no lo hacemos en forma "manual") .. ahí "confiamos" en que PHP nos va a propagar el SID en una cookie (o así debe ser) bajo la configuración de PHP (php.ini y ciertas directivas) además de tener un cliente (navegador) que acepte esas cookies y que nada las bloquee.

Un saludo,

Anarninquë · #3 (**permalink**) 17/11/2006, 08:43

lo del login desde otro dominio, no creo que sea problema, porque luego enviaré los datos (previamente comprobados) a otro dominio mediante POST (se puede no?)

Una vez en el nuevo dominio (en el AdminPanel) ahí tomaré los datos de usuario y password y ahí recién crearé la session, estaría bien así?

disculpá si mis preguntas parecen muy estúpidas, pero si bien conozco bastante php, nunca use sesiones... :s

gracias

Anarninquë · #4 (**permalink**) 24/11/2006, 15:20

no hay respuesta?
nadie sabe??