Seguridad en PHP [Importante];

Heli0s · #31 (**permalink**) 13/05/2010, 02:36

Muéstrame lo que tienes en seguridad.php

Un saludo

Flow89 · #32 (**permalink**) 13/05/2010, 02:42

Cita:

Iniciado por Heli0s

Muéstrame lo que tienes en seguridad.php

Un saludo

Código PHP:

  <?php

function getClearString($var){

    if(!is_array($var)){

        return addslashes(stripslashes(htmlentities($var)));

    } else {

        return $var;

    }

}

 
$_GET = array_map("getClearString", $_GET);

$_POST = array_map("getClearString", $_POST);

$_COOKIE = array_map("getClearString", $_COOKIE);

$_SESSION = array_map("getClearString", $_SESSION); 

?>

Flow89 · #33 (**permalink**) 13/05/2010, 02:44

Por cierto, probandolo ne otra pagina me pone este error

Código:

Warning: array_map() [function.array-map]: Argument 
#2 should be an array in /home/a7366460/public_html/seguridad.php 
 on line 13

Y probé quitando el <?php del archivo de seguridad y me muestra esto (en administracion.php q es el que te mostre antes).

Código:

Warning: array_map() [function.array-map]: Argument #2 
should be an array in /home/a7366460/public_html/loginpanel/seguridad.php  
on line 13

Fatal error: Cannot redeclare getclearstring() (previously declared in 
/home/a7366460/public_html/loginpanel/seguridad.php:2) in 
/home/a7366460/public_html/loginpanel/seguridad.php on line 8

Heli0s · #34 (**permalink**) 13/05/2010, 03:01

Pero si quitas el <?php no debería procesarlo como PHP, tienes varios <?PHP?

Ahora ya no se muestra en pantalla? da esos errores solo o tambien se muestra en pantalla?

Flow89 · #35 (**permalink**) 13/05/2010, 03:04

Cita:

Iniciado por Heli0s

Pero si quitas el <?php no debería procesarlo como PHP, tienes varios <?PHP?

Ahora ya no se muestra en pantalla? da esos errores solo o también se muestra en pantalla?

El código de administración.php te lo puse mas arriba, en seguridad.php solo tengo 1 <?php ?>

La cosa era al revés, si quito el PHP me sale el texto, si lo pongo, me salen esos errores.

Heli0s · #36 (**permalink**) 13/05/2010, 03:12

Se me olvidaba una cosa, que como mínimo te quitará un error, tu no usas sessiones, y si no haces un session_start() el array $_SESSION no existe, por lo tanto voy a realizar unos cambios para que detecte.

Código PHP:

  <?php
function getClearString($var){
    if(!is_array($var)){
        return addslashes(stripslashes(htmlentities($var)));
    } else {
        return $var;
    }
}
if(is_array($_GET))
$_GET = array_map("getClearString", $_GET);
if(is_array($_POST))
$_POST = array_map("getClearString", $_POST);
if(is_array($_COOKIE))
$_COOKIE = array_map("getClearString", $_COOKIE);
if(is_array($_SESSION))
$_SESSION = array_map("getClearString", $_SESSION);

?>

Este es el nuevo código para que no de error aunque no haya un session_start antes.

Un saludo

Flow89 · #37 (**permalink**) 13/05/2010, 04:00

Cita:

Iniciado por Heli0s

Se me olvidaba una cosa, que como mínimo te quitará un error, tu no usas sessiones, y si no haces un session_start() el array $_SESSION no existe, por lo tanto voy a realizar unos cambios para que detecte.

Código PHP:

  <?php

function getClearString($var){

    if(!is_array($var)){

        return addslashes(stripslashes(htmlentities($var)));

    } else {

        return $var;

    }

}

if(is_array($_GET))

$_GET = array_map("getClearString", $_GET);

if(is_array($_POST))

$_POST = array_map("getClearString", $_POST);

if(is_array($_COOKIE))

$_COOKIE = array_map("getClearString", $_COOKIE);

if(is_array($_SESSION))

$_SESSION = array_map("getClearString", $_SESSION);

 
?>

Este es el nuevo código para que no de error aunque no haya un session_start antes.

Un saludo

Código:

Fatal error: Cannot redeclare getclearstring() (previously declared in 
/home/a7366460/public_html/loginpanel/seguridad.php:2) 
in /home/a7366460/public_html/loginpanel/seguridad.php on line 8

Heli0s · #38 (**permalink**) 13/05/2010, 04:19

No entiendo ese error, dice que la función se declara dos veces, incluyes el archivo dos veces o algo por estilo? puede que incluyas un archivo que a su misma vez incluya seguridad.php, es muy raro ese error, y desde luego a mi no me sale.

Un saludo

Flow89 · #39 (**permalink**) 13/05/2010, 04:22

Cita:

Iniciado por Heli0s

No entiendo ese error, dice que la función se declara dos veces, incluyes el archivo dos veces o algo por estilo? puede que incluyas un archivo que a su misma vez incluya seguridad.php, es muy raro ese error, y desde luego a mi no me sale.

Un saludo

Que va.. le incluyo una sola vez, en cada página eso si.

si no lo conseguimos arreglar pues.. tendre que prescindir de el :S jeje

Heli0s · #40 (**permalink**) 13/05/2010, 04:30

Una cosa que no entiendo es que en el error te ponga el nombre de la función en minusculas, cuando tiene mayusculas, yo borraría el archivo y lo crearía de nuevo, ya que el error por lo menos no es muy comun... si sigue fallando pasame el código de los otros archivos que incluyes, y prueba poniendo include_once, a ver si así funciona

Un saludo

Flow89 · #41 (**permalink**) 13/05/2010, 04:48

Ya se porque me tira ese error.

Habia incluido el segu.php en login.php y en administracion.php y a su vez estaba incluyendo el login.php en administracion.php

En este caso, como el segu.php esta dentro de login.php al ejecutar login.php en administracion.php tmb se ejecuta el segu.php en administracion.php?

No se si me entiendes, con tanto nombre.. jajaja XD

En definitiva que si el segu.php se ejecuta en login y administracion o solo en login? xd

Flow89 · #42 (**permalink**) 13/05/2010, 05:08

Sigamos con el tema de seguridad, ahora con el archivo ingresar.php

tenia este codigo;

Código PHP:

 
 <html>
<head>
<title>JuventudMDC - Panel de Administraci&oacute;n</title>
<link href="../css/general.css" rel="stylesheet" type="text/css" />
</head>
<body>
<?php
   include("conex.php");
   include("segu.php");


function quitar($mensaje)
   {
   $mensaje = str_replace("<","&lt;",$mensaje);
   $mensaje = str_replace(">","&gt;",$mensaje);
   $mensaje = str_replace("\'","'",$mensaje);
   $mensaje = str_replace('\"',"&quot;",$mensaje);
  $mensaje = str_replace("\\\\","\\",$mensaje);
  return $mensaje;
   }
  
  if(trim($HTTP_POST_VARS["nick"]) != "" && trim($HTTP_POST_VARS["password"]) != "")
  {
  $nickN = quitar($HTTP_POST_VARS["nick"]);
  $passN = quitar($HTTP_POST_VARS["password"]);
  $result = mysql_query("SELECT password FROM usuarios WHERE nick='$nickN'");
  if($row = mysql_fetch_array($result))
   {
  if($row["password"] == $passN)
  {
  //La cookie dura 1 hora
  setcookie("usNick",$nickN,time()+36000);
  setcookie("usPass",$passN,time()+36000);
  echo "<table style=\"height:100%;width:100%;\" border=\"0\"><tr><td class=\"estilo34\"><div align=\"center\">Logueado correctamente, ahora sera dirigido a el panel de administración automaticamente.</div></td></tr></table>";
  echo "<META HTTP-EQUIV=\"refresh\" CONTENT=\"2; url=administracion.php\">";
  }
  else
  {
  echo "<META HTTP-EQUIV=\"refresh\" CONTENT=\"2; url=../panel.php\">";
  echo "<table style=\"height:100%;width:100%;\"border=\"0\"><tr><td class=\"estilo34\"><div align=\"center\"><br>Contraseña incorrecta. <br> Seras redireccionado automaticamente.</div></td></tr></table>";
  }
  }
  else
  {
  echo "<META HTTP-EQUIV=\"refresh\" CONTENT=\"2; url=../panel.php\">";
  echo "<table style=\"height:100%;width:100%;\"border=\"0\"><tr><td class=\"estilo34\"><div align=\"center\"><br>Ese Usuario no existe en la base de datos. <br> Seras redireccionado automaticamente.</div></td></tr></table>";
  }
  mysql_free_result($result);
  }
  else
  {
  echo "<META HTTP-EQUIV=\"refresh\" CONTENT=\"2; url=../panel.php\">";
  echo "<table style=\"height:100%;width:100%;\"border=\"0\"><tr><td class=\"estilo34\"><div align=\"center\"><br>Debe especificar un nick y password. <br> Seras redireccionado automaticamente.</div></td></tr></table>";
  }
  mysql_close();  
  ?> 
</body>
</html>

Que se ha convertido en este otro Este es el q hay que revisar, el otro funciona bien

Código PHP:

 
<html>
<head>
<title>JuventudMDC - Panel de Administraci&oacute;n</title>
<link href="../css/general.css" rel="stylesheet" type="text/css" />
</head>
<body>
<?php
   include("conex.php");
   include("segu.php");

$nick = mysql_real_escape_string($HTTP_POST_VARS["nick"]);
$password = mysql_real_escape_string($HTTP_POST_VARS["nick"]);

function quitar($mensaje)
   {
   $mensaje = str_replace("<","&lt;",$mensaje);
   $mensaje = str_replace(">","&gt;",$mensaje);
   $mensaje = str_replace("\'","'",$mensaje);
   $mensaje = str_replace('\"',"&quot;",$mensaje);
  $mensaje = str_replace("\\\\","\\",$mensaje);
  return $mensaje;
   }
  
  if(trim("$nick") != "" && trim("$password") != "")
  {
$nickN = my_real_escape_string($nickN);
$passN = my_real_escape_string($passN);
  $nickN = quitar("$nick");
  $passN = quitar("$password");


  $result = mysql_query("SELECT password FROM usuarios WHERE nick='$nickN'");
  if($row = mysql_fetch_array($result))
   {
  if($row["password"] == $passN)
  {
  //La cookie dura 1 hora
  setcookie("usNick",$nickN,time()+36000);
  setcookie("usPass",$passN,time()+36000);
  echo "<table style=\"height:100%;width:100%;\" border=\"0\"><tr><td class=\"estilo34\"><div align=\"center\">Logueado correctamente, ahora sera dirigido a el panel de administración automaticamente.</div></td></tr></table>";
  echo "<META HTTP-EQUIV=\"refresh\" CONTENT=\"2; url=administracion.php\">";
  }
  else
  {
  echo "<META HTTP-EQUIV=\"refresh\" CONTENT=\"2; url=../panel.php\">";
  echo "<table style=\"height:100%;width:100%;\"border=\"0\"><tr><td class=\"estilo34\"><div align=\"center\"><br>Contraseña incorrecta. <br> Seras redireccionado automaticamente.</div></td></tr></table>";
  }
  }
  else
  {
  echo "<META HTTP-EQUIV=\"refresh\" CONTENT=\"2; url=../panel.php\">";
  echo "<table style=\"height:100%;width:100%;\"border=\"0\"><tr><td class=\"estilo34\"><div align=\"center\"><br>Ese Usuario no existe en la base de datos. <br> Seras redireccionado automaticamente.</div></td></tr></table>";
  }
  mysql_free_result($result);
  }
  else
  {
  echo "<META HTTP-EQUIV=\"refresh\" CONTENT=\"2; url=../panel.php\">";
  echo "<table style=\"height:100%;width:100%;\"border=\"0\"><tr><td class=\"estilo34\"><div align=\"center\"><br>Debe especificar un nick y password. <br> Seras redireccionado automaticamente.</div></td></tr></table>";
  }
  mysql_close();  
  ?> 
</body>
</html>

El caso es que, a raiz de poner el mysql_real_escape_string, debe modificar algo internamente y me dice que la contraseña es incorrecta. :S

Debería quitarlo? con el str_replace sería suficiente en este caso?

Como podría modificar el str_replace por el htmlentities? no entiendo muy bien como se usa.

Un saludo y Gracias

Heli0s · #43 (**permalink**) 13/05/2010, 05:13

Cita:

Iniciado por Flow89

Ya se porque me tira ese error.

Habia incluido el segu.php en login.php y en administracion.php y a su vez estaba incluyendo el login.php en administracion.php

En este caso, como el segu.php esta dentro de login.php al ejecutar login.php en administracion.php tmb se ejecuta el segu.php en administracion.php?

No se si me entiendes, con tanto nombre.. jajaja XD

En definitiva que si el segu.php se ejecuta en login y administracion o solo en login? xd

Sobre esto, es lo que te dije antes de incluir un archivo que al mismo tiempo incluye otro archivo. hay que llevar cuidado

Heli0s · #44 (**permalink**) 13/05/2010, 05:16

Que caracteres tiene la contraseña? la cuestion es que a la hora de registrar un usuario tambien tendría que haber sido pasada la contraseña por mysql_real_escape_string, pero como cuando lo registrastes no usabas esa funcion, ahora la contraseña la detecta como diferente, pero si lo pones en el formulario de registrar y registras un usuario nuevo debería ir a la perfeccion.

Sobre htmlentities.

Código PHP:

  $string = htmlentities($stringaconvertir);

Más sencillo imposible.

Flow89 · #45 (**permalink**) 13/05/2010, 05:24

Cita:

Iniciado por Heli0s

Que caracteres tiene la contraseña? la cuestion es que a la hora de registrar un usuario tambien tendría que haber sido pasada la contraseña por mysql_real_escape_string, pero como cuando lo registrastes no usabas esa funcion, ahora la contraseña la detecta como diferente, pero si lo pones en el formulario de registrar y registras un usuario nuevo debería ir a la perfeccion.

Sobre htmlentities.

Código PHP:

  $string = htmlentities($stringaconvertir);

Más sencillo imposible.

Es posible que sea por ese motivo, asique voy a probarlo y te comento.

si encriptase la contraseña en md5 tambien tendría que seguir pasandola por mysql_real_escape_string no?

Entonces el htmlentities me quedaría;

$mensaje = htmlentities($mensaje);

y despues debería aplicarlo así:

$nickN = ("$nick", $mensaje);

No?

Heli0s · #46 (**permalink**) 13/05/2010, 05:27

Cita:

Iniciado por Flow89

si encriptase la contraseña en md5 tambien tendría que seguir pasandola por mysql_real_escape_string no?

No haría falta aunque tampoco está de más.

Cita:

Iniciado por Flow89

Entonces el htmlentities me quedaría;

$mensaje = htmlentities($mensaje);

y despues debería aplicarlo así:

$nickN = ("$nick", $mensaje);

No?

No, es tan sencillo como:

Código PHP:

  $nickN = htmlentities($nickN);

No entiendo como te complicas tanto a veces, es simplemente una función que devuelve el valor que le pasas por parámetro pero con los cambios que dicha función realiza.

Un saludo

Flow89 · #47 (**permalink**) 13/05/2010, 05:42

jajajaja, nose, quiero hacer las cosas bien y me complico un huevo, me como la cabeza jajaja.

Respecto a lo de la contraseña, he intentado creando un usuario nuevo, y me dice que es incorrecto....

prueba david prueba [email protected]

logeo con el nombre prueba y la contraseña david, y no funciona XD

te dejo los codigos de login.php, ingresar.php y registrar.php

login

Código PHP:

  <?php
  include("conex.php");
  include("segu.php");
 
$loginCorrecto = false;
$tNick = mysql_real_escape_string($HTTP_COOKIE_VARS["usNick"]);
$tPass = mysql_real_escape_string($HTTP_COOKIE_VARS["usPass"]);

$result = mysql_query("SELECT * FROM usuarios WHERE nick='$tNick' AND password='$tPass'");
$rows = mysql_fetch_array($result);
    if(mysql_num_rows($result) == 1){
        $loginCorrecto = true;
    } else {
        $loginCorrecto = false;
    }
mysql_free_result($result);
  ?>

registrar.php

Código PHP:

 
<html>
<head>
<title>JuventudMDC - Panel de Administraci&oacute;n</title>
<link href="../css/general.css" rel="stylesheet" type="text/css" />
</head>
<body>
<?php  
  include("conex.php");
  include("segu.php");

$nick = mysql_real_escape_string($HTTP_POST_VARS[nick]);
$password = mysql_real_escape_string($HTTP_POST_VARS[password]);
$nombre = mysql_real_escape_string($HTTP_POST_VARS[nombre]);
$email = $HTTP_POST_VARS[email];


if(trim($nick) != "" && trim($password) != "" && trim($nombre) != "" && trim($email) != ""){
  $sql = "SELECT id FROM usuarios WHERE nick='$nick'";
  $result = mysql_query($sql);
  if($row = mysql_fetch_array($result)){
  echo "<META HTTP-EQUIV=\"refresh\" CONTENT=\"2; url=fusuarios.php\">";
  echo "<table style=\"height:100%;width:100%;\"border=\"0\"><tr><td class=\"estilo34\"><div align=\"center\">Error, ese nick ya ha sido registrado. <br> Seras redireccionado automaticamente.</div></td></tr></table>";
  }
  else
  {

$sql = "INSERT INTO usuarios (nick,password,nombre,email) VALUES('$nick', '$nombre ', '$password', '$email')";   
mysql_query($sql);


  echo "<META HTTP-EQUIV=\"refresh\" CONTENT=\"2; url=administracion.php\">";
  echo "<table style=\"height:100%;width:100%;\"border=\"0\"><tr><td class=\"estilo34\"><div align=\"center\">El registro del usuario se ha efectuado correctamente. <br> Seras redireccionado automaticamente.</div></td></tr></table>";
  }
  mysql_free_result($result);
  }
  else
  {
  echo "<META HTTP-EQUIV=\"refresh\" CONTENT=\"2; url=fusuarios.php\">";
echo "<table style=\"height:100%;width:100%;\"border=\"0\"><tr><td class=\"estilo34\"><div align=\"center\">Debes rellenar todos los campos. <br> Seras redireccionado automaticamente.</div></td></tr></table>";
   }
  mysql_close();
  ?>
</body>
</html>

ingresar.php

Código PHP:

 
 <html>
<head>
<title>JuventudMDC - Panel de Administraci&oacute;n</title>
<link href="../css/general.css" rel="stylesheet" type="text/css" />
</head>
<body>
<?php
   include("conex.php");
   include("segu.php");

$nick = mysql_real_escape_string($HTTP_POST_VARS["nick"]);
$password = mysql_real_escape_string($HTTP_POST_VARS["nick"]);

 
  if(trim("$nick") != "" && trim("$password") != "")
  {
$nickN = mysql_real_escape_string($nickN);
$passN = mysql_real_escape_string($passN);
$nickN = htmlentities($nick);
$passN = htmlentities($password);


  $result = mysql_query("SELECT password FROM usuarios WHERE nick='$nickN'");
  if($row = mysql_fetch_array($result))
   {
  if($row["password"] == $passN)
  {
  //La cookie dura 1 hora
  setcookie("usNick",$nickN,time()+36000);
  setcookie("usPass",$passN,time()+36000);
  echo "<table style=\"height:100%;width:100%;\" border=\"0\"><tr><td class=\"estilo34\"><div align=\"center\">Logueado correctamente, ahora sera dirigido a el panel de administración automaticamente.</div></td></tr></table>";
  echo "<META HTTP-EQUIV=\"refresh\" CONTENT=\"2; url=administracion.php\">";
  }
  else
  {
  echo "<META HTTP-EQUIV=\"refresh\" CONTENT=\"2; url=../panel.php\">";
  echo "<table style=\"height:100%;width:100%;\"border=\"0\"><tr><td class=\"estilo34\"><div align=\"center\"><br>Contraseña incorrecta. <br> Seras redireccionado automaticamente.</div></td></tr></table>";
  }
  }
  else
  {
  echo "<META HTTP-EQUIV=\"refresh\" CONTENT=\"2; url=../panel.php\">";
  echo "<table style=\"height:100%;width:100%;\"border=\"0\"><tr><td class=\"estilo34\"><div align=\"center\"><br>Ese Usuario no existe en la base de datos. <br> Seras redireccionado automaticamente.</div></td></tr></table>";
  }
  mysql_free_result($result);
  }
  else
  {
  echo "<META HTTP-EQUIV=\"refresh\" CONTENT=\"2; url=../panel.php\">";
  echo "<table style=\"height:100%;width:100%;\"border=\"0\"><tr><td class=\"estilo34\"><div align=\"center\"><br>Debe especificar un nick y password. <br> Seras redireccionado automaticamente.</div></td></tr></table>";
  }
  mysql_close();  
  ?> 
</body>
</html>

Pienso que el fallo esta en registrar.php en la linea

if($row["password"] == $passN)
{

que alomejor deberia hacer un if($row(mysql_real_escape_string(["password"])) == $passN)

pero nose, pueden ser tantas cosas que ni idea..

Heli0s · #48 (**permalink**) 13/05/2010, 05:46

Pero es que con esa contraseña no debería fallar, haz un echo para comprobar que es lo que hay en la variable de la contraseña.

Un saludo

Flow89 · #49 (**permalink**) 13/05/2010, 05:54

Cita:

Iniciado por Heli0s

Pero es que con esa contraseña no debería fallar, haz un echo para comprobar que es lo que hay en la variable de la contraseña.

Un saludo

Ahora me muestra un error

Parse error: syntax error, unexpected T_IF, expecting ',' or ';' in /home/a7366460/public_html/loginpanel/ingresar.php on line 16

la linea 16 es:

if(trim("$nick") != "" && trim("$password") != "");

y la 15 esta vacia xd

Heli0s · #50 (**permalink**) 13/05/2010, 05:57

No entiendo ese condicional, para que haces un condicional si no le vas a indicar que haga ninguna acción?

Flow89 · #51 (**permalink**) 13/05/2010, 06:07

Cita:

Iniciado por Heli0s

No entiendo ese condicional, para que haces un condicional si no le vas a indicar que haga ninguna acción?

Esa condicional comprueba que los campos no esten vacios, y si estan vacios luego muestra un error.

El que me salia es porque se me olvido el ; del echo.

Aunque ahora tengo otro que antes no tenia

Parse error: syntax error, unexpected T_ELSE in /home/a7366460/public_html/loginpanel/ingresar.php on line 48

Joder con los errores.... XD

Heli0s · #52 (**permalink**) 13/05/2010, 07:05

Lo que no entiendo es que al final del condicional pongas ;, no tiene sentido alguno, y si me pones el error ponme el código.

Un saludo

spider_boy · #53 (**permalink**) 13/05/2010, 08:34

1.- No usar HTTP_POST_VARS, HTTP_COOKIE_VARS, en cambio, usar $_POST o $_COOKIE.

2.- No usar ereg_* para expresiones regulares, en cambio, usar preg_*

Heli0s · #54 (**permalink**) 13/05/2010, 10:28

Estaría bien que indicaras el porque de esos consejos que has dado.

Un saludo

spider_boy · #55 (**permalink**) 13/05/2010, 13:42

Ambas están obsoletas, por ende, si se llegase a encontrar un nuevo bug o algún error en su uso, no será corregido.ç

Si entras a :

http://php.net/manual/en/reserved.variables.post.php

Notarás que dice :

Código:

$_POST
$HTTP_POST_VARS [deprecated] ( obsoleto )

Y acá : http://cl.php.net/manual/en/function.ereg.php

Se lee :

Código:

This function has been DEPRECATED as of PHP 5.3.0. Relying on this feature is highly discouraged.

// Traductor de Google :

Esta función es obsoleta desde PHP 5.3.0. Basándose en esta función es sumamente desalentador.

En otras palabras, no es recomendable usar funciones u otros que ya no serán mantenidos en actuales y futuras versiones de php.

Heli0s · #56 (**permalink**) 13/05/2010, 14:06

Lo de que HTTP_POST_VARS estaba obsoleto ya lo sabía, lo de ereg no lo sabia, bueno saberlo y bueno para este post, gracias por la información.

Un saludo

Flow89 · #57 (**permalink**) 14/05/2010, 01:23

Ok, gracias, Modificaré mis HTTP_POST_VARS por $_POST

Respecto a el codigo Heli0s aqui lo tienes;

Código PHP:

 
 <html>
<head>
<title>JuventudMDC - Panel de Administraci&oacute;n</title>
<link href="../css/general.css" rel="stylesheet" type="text/css" />
</head>
<body>
<?php
   include("conex.php");
   include("segu.php");

$nick = mysql_real_escape_string($HTTP_POST_VARS["nick"]);
$password = mysql_real_escape_string($HTTP_POST_VARS["password"]);
echo "$password";

 
  if(trim("$nick") != "" && trim("$password") != "");
  {
$nickN = mysql_real_escape_string($nickN);
$passN = mysql_real_escape_string($passN);
$nickN = htmlentities($nick);
$passN = htmlentities($password);


  $result = mysql_query("SELECT password FROM usuarios WHERE nick='$nickN'");
  if($row = mysql_fetch_array($result))
   {
  if($row["password"] == $passN)
  {
  //La cookie dura 1 hora
  setcookie("usNick",$nickN,time()+36000);
  setcookie("usPass",$passN,time()+36000);
  echo "<table style=\"height:100%;width:100%;\" border=\"0\"><tr><td class=\"estilo34\"><div align=\"center\">Logueado correctamente, ahora sera dirigido a el panel de administración automaticamente.</div></td></tr></table>";
  echo "<META HTTP-EQUIV=\"refresh\" CONTENT=\"2; url=administracion.php\">";
  }
  else
  {
  echo "<META HTTP-EQUIV=\"refresh\" CONTENT=\"2; url=../panel.php\">";
  echo "<table style=\"height:100%;width:100%;\"border=\"0\"><tr><td class=\"estilo34\"><div align=\"center\"><br>Contraseña incorrecta. <br> Seras redireccionado automaticamente.</div></td></tr></table>";
  }
  }
  else
  {
  echo "<META HTTP-EQUIV=\"refresh\" CONTENT=\"2; url=../panel.php\">";
  echo "<table style=\"height:100%;width:100%;\"border=\"0\"><tr><td class=\"estilo34\"><div align=\"center\"><br>Ese Usuario no existe en la base de datos. <br> Seras redireccionado automaticamente.</div></td></tr></table>";
  }
  mysql_free_result($result);
  }
  else
  {
  echo "<META HTTP-EQUIV=\"refresh\" CONTENT=\"2; url=../panel.php\">";
  echo "<table style=\"height:100%;width:100%;\"border=\"0\"><tr><td class=\"estilo34\"><div align=\"center\"><br>Debe especificar un nick y password. <br> Seras redireccionado automaticamente.</div></td></tr></table>";
  }
  mysql_close();  
  ?> 
</body>
</html>

Todo a pasado a raiz de meter el campo contraseña por un mysql_real_escape_string, que no reconocia la contraseña como valida aún estando bien.

PD:Te conteste en el post de HTML y CSS, te puse los codigos, jeje.

Flow89 · #58 (**permalink**) 14/05/2010, 01:39

Listo, ya he arreglado los problemas.

Uno de los 3 que habia era el ; en la condicional (no me di cuenta, al ponerlo en la condicional, luego no reconocía el ELSE (La puse por desesperacion a ver si arreglaba el resto xD)).

El segundo era que se me habia escapado una letra por ahí :$ jeje.

El tercero era el echo "$password"; que no se porque, pero daba error :S

Un saludo.

PD: Os dejo el codigo arreglado y modificado lo de las $_POST.

Código PHP:

 
 <html>
<head>
<title>JuventudMDC - Panel de Administraci&oacute;n</title>
<link href="../css/general.css" rel="stylesheet" type="text/css" />
</head>
<body>
<?php
   include("conex.php");
   include("segu.php");

$nick = mysql_real_escape_string($_POST["nick"]);
$password = mysql_real_escape_string($_POST["password"]);

 
  if(trim("$nick") != "" && trim("$password") != "")
  {
$nickN = mysql_real_escape_string($nickN);
$passN = mysql_real_escape_string($passN);
$nickN = htmlentities($nick);
$passN = htmlentities($password);


  $result = mysql_query("SELECT password FROM usuarios WHERE nick='$nickN'");
  if($row = mysql_fetch_array($result))
   {
  if($row["password"] == $passN)
  {
  //La cookie dura 1 hora
  setcookie("usNick",$nickN,time()+36000);
  setcookie("usPass",$passN,time()+36000);
  echo "<table style=\"height:100%;width:100%;\" border=\"0\"><tr><td class=\"estilo34\"><div align=\"center\">Logueado correctamente, ahora sera dirigido a el panel de administración automaticamente.</div></td></tr></table>";
  echo "<META HTTP-EQUIV=\"refresh\" CONTENT=\"2; url=administracion.php\">";
  }
  else
  {
  echo "<META HTTP-EQUIV=\"refresh\" CONTENT=\"2; url=../panel.php\">";
  echo "<table style=\"height:100%;width:100%;\"border=\"0\"><tr><td class=\"estilo34\"><div align=\"center\"><br>Contraseña incorrecta. <br> Seras redireccionado automaticamente.</div></td></tr></table>";
  }
  }
  else
  {
  echo "<META HTTP-EQUIV=\"refresh\" CONTENT=\"2; url=../panel.php\">";
  echo "<table style=\"height:100%;width:100%;\"border=\"0\"><tr><td class=\"estilo34\"><div align=\"center\"><br>Ese Usuario no existe en la base de datos. <br> Seras redireccionado automaticamente.</div></td></tr></table>";
  }
  mysql_free_result($result);
  }
  else
  {
  echo "<META HTTP-EQUIV=\"refresh\" CONTENT=\"2; url=../panel.php\">";
  echo "<table style=\"height:100%;width:100%;\"border=\"0\"><tr><td class=\"estilo34\"><div align=\"center\"><br>Debe especificar un nick y password. <br> Seras redireccionado automaticamente.</div></td></tr></table>";
  }
  mysql_close();  
  ?> 
</body>
</html>

Flow89 · #59 (**permalink**) 14/05/2010, 02:27

Tengo una duda.. el sistema de logueo se realiza en la carpeta administracion, despues yo estoy en otra página que esta en otra carpeta diferente, y le he añadido a esa carpeta el conex.php, el login.php y el segu.php

El caso es que, al cambiar de administracion.php que esta en la carpeta administracion, a usuarios.php que esta en la carpeta usuarios, el sistema de login me dice que no estoy logueado.

Que puedo hacer? :S

Flow89 · #60 (**permalink**) 14/05/2010, 02:28

ah el contenido de usuarios.php es este

Código PHP:

 
<html>
<head>
<title>Panel de Administracion - Noticias</title>
<link href="../css/general.css" rel="stylesheet" type="text/css" /> 
<style type="text/css">
<!--
body {
    background-image: url(../imagenes/bg_pattern.gif);
}
-->
</style>
</head>

<?php
//incluimos el archivo de conexion y el login
include("conex.php");
include("login.php");

//comprobamos si esta logueado correctamente, si lo esta mostramos la pagina 
if($loginCorrecto)
{ ?>
<body>
<table width="650" border="0" align="center">
<tr>
      <td colspan="2"><div align="center"><img src="http://www.forosdelweb.com/f18/imagenes/panel.png" width="500" height="200" /></div></td>
<tr>
    <td><div align="center" class="Estilo16">Registra un Usuario | <a href='../loginpanel/administracion.php'> Volver </a></div></td>
  </tr>
<tr><td>   
      <FORM ACTION="registrar.php" METHOD="post">
   <br>
      <b>* Nick:</b><br><br>
 <INPUT TYPE="text" NAME="nick" SIZE="20" MAXLENGTH="20">
   
      <BR><br>
  
      <b>* Email:</b><br><br>
 <INPUT TYPE="text" NAME="email" SIZE="28" MAXLENGTH="100">
   
      <BR><br>
   
      <b>* Password:</b><br><br>
 <INPUT TYPE="password" NAME="password" SIZE="28" MAXLENGTH="20">
  
      <BR><br>
   
      <b>* Nombre:</b><br><br>
 <INPUT TYPE="text" NAME="nombre" SIZE="28" MAXLENGTH="255">
   
      <BR><br>
  
      <INPUT TYPE="submit" CLASS="boton" VALUE="Registrar">
  
      </FORM> 
</td></tr>
</table>


<?php 
}
//si no esta logueado, le mostramos este error y le redirigimos.
else
{ 
echo "<META HTTP-EQUIV=\"refresh\" CONTENT=\"2; url=../panel.php\">";
echo "<table style=\"height:100%;width:100%;\" border=\"0\"><tr><td class=\"estilo34\"><div align=\"center\">No estas logueado, no puedes acceder aquí.<br> Seras redireccionado automaticamente.</div></td></tr></table>"; 
}
?>
</body>
</html>