Seguridad sistema autentificacion usuario.

mariomon17 · #1 (**permalink**) 09/02/2010, 09:25

Hola a todos, he creado un sisitema de autentificacion de usuarios y queria saber que opinan de la seguridad que ofrece...

Pagina index.php
Envio por POST la contraseña a control.php

Control.php

Código PHP:

Ver original<?php
switch (md5($_POST["pass"])){
   case "cbfad6f62b7588596261545e865cd980":
     session_start();
     $_SESSION["nom"]="sara";
     header("Location: panel.php");
   break;
   case "254289217f69e7288185528730643f65":
     session_start();
     $_SESSION["nom"]="mario";
     header("Location: panel.php");
   break;
   default:
     header("Location: index.php?error=yes");
}
?>

Cita:

La pagina solo va a tener dos usuarios (mario y sara) por eso de session nom

Panel.php
Antes del codigo esta incrustado esto:

Código PHP:

Ver original<?php
session_start();
if (($_SESSION["nom"] != "sara") && ($_SESSION["nom"] != "mario")){
  header("Location: index.php?zona=yes");
  exit();
}
?>

Cita:

Y luego en la pagina exit.php (a la q se accede desde un boton "Salir" en panel.php

Exit.php

Código PHP:

Ver original<?php
session_start(); 
session_destroy(); 
header("Location: index.php");
?>

-------------------------------------------------------------------
Gracias a todos...

Hidek1 · #2 (**permalink**) 09/02/2010, 09:42

esta bien... si no usas sql para los usuarios no debes preocuparte por las injection ni nada de eso asi que con eso deberia bastar

Triby · #3 (**permalink**) 09/02/2010, 13:14

Solo agregaria un poco mas de seguridad comparando nombre y clave, es decir:

Código PHP:

Ver originalif($_POST['nombre'] == 'mario' && md5($contrase&#241;a) = 'md5-de-contraseña-de-mario') {
      // Aqui inicias la sesion de mario y rediriges
} else if( verificacion de datos de sara) {
      // Aqui inicias la sesion de sara y rediriges
} else {
      // Aqui rediriges a pagina de error
}

morior · #4 (**permalink**) 09/02/2010, 13:43

Eso te funciona? lo has probado?? lo digo porque el session_start(); no lo tienes al principio de todo. Sólo un comentario.

david_M_G · #5 (**permalink**) 09/02/2010, 14:51

¿Y para qué quieres usar MD5 en este caso? Ahí no te hace nada. La contraseña la estás pasando vía "POST" tal cual es (no cifrada), que es donde está el riesgo.

Quiero decir que el riesgo está en el viaje de esa contraseña, mientras se tramita la información, o el lugar donde se almacena (como podría ser la base de datos). En tu caso, la estás cifrando y comparando en el mismo lugar, que por cierto es ya seguro (nadie accederá al contenido del .php)

Es lo mismo:

Código:

if ($contra == 12345)

Que:

Código:

if(cifrar($contra) == cifrar(12345))

Vamos, que no es que sea un error, pero no sirve absolutamente de nada por si lo pensabas. (Y si me equivoco que me corrija alguien)
La MD5 viene bien tenerla cifrada por ejemplo si la almacenas en SESSION o en una COOKIE, que son datos a los que el usuario puede acceder.

Suerte

Hidek1 · #6 (**permalink**) 09/02/2010, 14:57

por eso mismo yo tambien dije que daba lo mismo si no interactuaba con sql =)

mariomon17 · #7 (**permalink**) 09/02/2010, 17:33

Cita:

Iniciado por Triby

Solo agregaria un poco mas de seguridad comparando nombre y clave, es decir:

Código PHP:

Ver originalif($_POST['nombre'] == 'mario' && md5($contraseña) = 'md5-de-contraseña-de-mario') {
      // Aqui inicias la sesion de mario y rediriges
} else if( verificacion de datos de sara) {
      // Aqui inicias la sesion de sara y rediriges
} else {
      // Aqui rediriges a pagina de error
}

De momento solo quiero que sea una contraseña, sin nombres de usuarios ni nada.

Cita:

Iniciado por morior

Eso te funciona? lo has probado?? lo digo porque el session_start(); no lo tienes al principio de todo. Sólo un comentario.

Si, me funciona perfecto. session_start lo incluyo al principio de todas las paginas.

------------------------------------
Muchas gracias a todos.
Proximamente (si amplio este sistema) los usuarios vendras de una base de datos...