Foros del Web » Programando para Internet » PHP »

seguridad de sesiones de usuario

Estas en el tema de seguridad de sesiones de usuario en el foro de PHP en Foros del Web. Hola a todos. Tengo un problema con las sesiones que no se cómo solucionar, incluso tengo un libro de php 5.3 que enseña a utilizar ...
  #1 (permalink)  
Antiguo 31/12/2012, 13:27
Avatar de guardarmicorreo  
Fecha de Ingreso: noviembre-2012
Ubicación: Córdoba
Mensajes: 1.153
Antigüedad: 12 años
Puntos: 84
seguridad de sesiones de usuario

Hola a todos. Tengo un problema con las sesiones que no se cómo solucionar, incluso tengo un libro de php 5.3 que enseña a utilizar sesiones pero no veo que solucione este problema, solo lo comenta.

El usuario puede loguearse y puede desloguearse de la web que estoy haciendo.

En el menú tengo un 'a href' que lleva a otro documento llamado registro.php.

Lo que he hecho ha sido que si se loguea muestre un bienvenido 'nombre del usuario' y un submit 'salir' pero no muestre el enlace a registro.php, evitando que un usuario logueado pueda registrar un nuevo usuario.

El problema es que si un usuario modifica manualmente la url y cambia de index.php a registro.php aparece como logueado y además el formulario de registro.

¿cómo puedo solucionar esto?

he pensado en que todo dependa de un documento llamado funciones .php y controlarlo todo mediante una función, pero tampoco se cómo escribir el código de esa función. una ayuda por favor. gracias
  #2 (permalink)  
Antiguo 31/12/2012, 13:34
Avatar de carlos_belisario
Colaborador
 
Fecha de Ingreso: abril-2010
Ubicación: Venezuela Maracay Aragua
Mensajes: 3.156
Antigüedad: 14 años, 7 meses
Puntos: 461
Respuesta: seguridad de sesiones de usuario

con un condicional en la pagina registro, algo así

Código PHP:
Ver original
  1. if(isset($_SESSION['username']) && !empty($_SESSION['username'])) {
  2.     header('location: index.php');
  3.     exit();
  4. }

saludos
__________________
aprende d tus errores e incrementa tu conocimientos
it's not a bug, it's an undocumented feature By @David
php the right way
  #3 (permalink)  
Antiguo 31/12/2012, 22:54
Avatar de guardarmicorreo  
Fecha de Ingreso: noviembre-2012
Ubicación: Córdoba
Mensajes: 1.153
Antigüedad: 12 años
Puntos: 84
Respuesta: seguridad de sesiones de usuario

Cita:
Iniciado por carlos_belisario Ver Mensaje
con un condicional en la pagina registro, algo así

Código PHP:
Ver original
  1. if(isset($_SESSION['username']) && !empty($_SESSION['username'])) {
  2.     header('location: index.php');
  3.     exit();
  4. }

saludos
muchísimas gracias por tu respuesta, la verdad es que me ayuda mucho porque no sabía cómo poner esta condicional en concreto puesto que no manejo todavía bien las sesiones.

algo así he pensado, pero (no lo tengo claro) no se si eso implica un fallo de seguridad.

¿mostrar php en un documento a un usuario (clic derecho y mostrar código fuente de la página) implica un riesgo en la seguridad del motor web?

es que imaginemos que en vez ocultar el registro a usuarios logueados, quiero ocultar un panel de administración (activación de usuarios y noticias, publicidad, etc. y al que se accede mediante un enlace desde el index.php que es visible a todos los usuarios) a usuarios que solo tengan unos permisos en una base de datos, si el acceso lo limito con condicionales me surjen dos problemas:

1) que un usuario mal intencionado se las apañe para manipular el php
2) y que si es un panel con animaciones .js y evidentemente html todo ese trabajo lo haría el servidor en vez del ordenador del administrador. es por eso que pregunto si se puede hacer de otra manera.

gracias de corazón

Etiquetas: formulario, seguridad, sesiones, usuarios
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 21:18.