sesión segura php

ceysmar · #1 (**permalink**) 03/01/2018, 23:27

hola estoy haciendo una pagina web y dichas sesiones administraran digamos un saldo dinero que sera valido para mis clientes asi que estoy intentando hacer una función de php para iniciar sesión
quiero ver si le parece segura o no ? ya que yo no soy un experto en la materia en cuanto sesiones segura

no mostrare el html ya que eso es básico pero aquí la función que inicia sesión

Código PHP:

Ver originalpublic function login($f)
    {
        //validamos campos vacios
        if ($f->correo != "") {
            if ($f->pass != "") {
                // validamos fomrato de correo electronico
                if (filter_var($f->correo, FILTER_VALIDATE_EMAIL)) {
                    $correo1    = $this->con->real_escape_string(trim(strtolower($f->correo)));
                    $resultados = $this->con->query("SELECT * FROM  user WHERE correo='$correo1'");
                    $data       = $resultados->fetch_array(MYSQLI_ASSOC);
                    $correo2    = $data['correo'];
                    $clave      = $data['clave'];
                    $resultados->close();
                    if (password_verify($f->pass, $clave) and $correo1 == $correo2) {
                        session_start();
                        $_SESSION['user_emeil'] = $data['correo'];
                        $_SESSION['user_id']    = $data['id'];
                        $_SESSION['user_name']  = $data['nombre'];
                        $_SESSION['segure']     = md5(rand() . $_SESSION['user_emeil']);
                        $token                  = $this->con->query("UPDATE user SET segure ='{$_SESSION['segure']}' WHERE id='{$_SESSION['user_id']}'");
                        echo "2";
 
                    } else {
                        echo "<div id='mensaje' class='alert alert-danger'>Correo Electrónico o Contraseña incorrectas.</div>";
                    }
                } else {
                    echo "<div id='mensaje' class='alert alert-danger'>El Correo Electrónico es invalido.</div>";
                }
            } else {
                echo "<div id='mensaje' class='alert alert-danger'>El campo Contraseña esta vació.</div>";
            }
        } else {
            echo "<div id='mensaje' class='alert alert-danger'>El campo Correo Electrónico esta vació.</div>";
        }
 
    }

y aquí la función que chequea las sesiones esta incluido en todas las paginas que solo serán visible al usuario registrado

Código PHP:

Ver originalpublic function CheckSesion()
    {
        if (!empty($_SESSION['user_id']) && !empty($_SESSION['segure'])) {
 
            //quitamos el posible SQLInjection del user y password
            $_SESSION['user_id'] = $this->con->real_escape_string($_SESSION['user_id']);
            $_SESSION['segure']  = $this->con->real_escape_string($_SESSION['segure']);
 
            //checamos que exista
            $chequear = $this->con->query("SELECT * FROM user WHERE id = '{$_SESSION['user_id']}' and segure = '{$_SESSION['segure']}'");
            $existe   = $chequear->num_rows;
            if ($existe == 1) {
                //volvemos a calcular un segure
                $prueva             = $_SESSION['segure'];
                $_SESSION['segure'] = md5(rand() . $_SESSION['user_emeil']);
                $token              = $this->con->query("UPDATE user SET segure ='{$_SESSION['segure']}' WHERE id='{$_SESSION['user_id']}'");
                $chequear->close();
 
            } else {
                session_destroy();
                header("Location:../account.php");
                exit;
            }
 
        } else {
            session_destroy();
            header("Location:../account.php");
            exit;
        }
    }

en el formulario de inicio sesión el chequeo por si ya esta logiado solo redirecciona a la pagina de bienvenido usuario y en bienvenido usuario es donde se comprueba la sesion

Código PHP:

Ver original<?php
session_start();
if (!empty($_SESSION['user_id']) && !empty($_SESSION['segure'])) {
 
    header("Location:user/index.php");
 
} else {
}
 
?>

sustentio · #2 (**permalink**) 10/01/2018, 12:51

no estas protegido contra SQL Inyection, utilice consultas preparadas

Triby · #3 (**permalink**) 10/01/2018, 14:01

En teoría, está bien, el único problema que veo es que no revisas si la consulta devuelve resultados:

Código PHP:

Ver original$resultados = $this->con->query("SELECT * FROM  user WHERE correo='$correo1'");
    // Aquí falta revisar:
   if($resultados->num_rows != 1) {
       // No se encontró el registro
       // o, probablemente, hay 2 o más cuentas con el mismo correo
       // Eso depende de tu desarrollo
   }
    $data       = $resultados->fetch_array(MYSQLI_ASSOC);

sustentio, ciertamente es mejor el uso de consultas preparadas, pero sí está protegido contra inyecciones SQL, para eso se usa ->real_escape_string()

sustentio · #4 (**permalink**) 11/01/2018, 11:12

@Triby

tienes razón, ni los vi

ceysmar · #5 (**permalink**) 08/04/2018, 23:13

Cita:

Iniciado por Triby

En teoría, está bien, el único problema que veo es que no revisas si la consulta devuelve resultados:

Código PHP:

Ver original$resultados = $this->con->query("SELECT * FROM  user WHERE correo='$correo1'");
    // Aquí falta revisar:
   if($resultados->num_rows != 1) {
       // No se encontró el registro
       // o, probablemente, hay 2 o más cuentas con el mismo correo
       // Eso depende de tu desarrollo
   }
    $data       = $resultados->fetch_array(MYSQLI_ASSOC);

sustentio, ciertamente es mejor el uso de consultas preparadas, pero sí está protegido contra inyecciones SQL, para eso se usa ->real_escape_string()

Gracias por responder y disculpa lo tarde que responder y bueno en cierto sentido tienes razón me falto verificar que me devuelva algún resultado aunque de mi punto de vista no lo vi necesario no se qué opinan la comunidad del foro, para mí solo se cumple dos condiciones por la cuan no devuelva resultados 1 que por cosas del destino haya un error con la base de dato o no se la conexión y la consulta no se ejecute, el segundo caso por el cual no devolvería resultado es que no exista el correo pero si el correo no existe no pasa la verificación de la contraseña por lo tanto no se iniciaría sesión y me imprime un echo con usuario y contraseña incorrecta, puesto que el algoritmo de registro de usuario verifica que en la base de dato no exista correo iguales al momento de registrar entonces no me arrojaría más de dos resultados por la simple razón que no puede existir dos correos iguales en la base de dato

xfxstudios · #6 (**permalink**) 09/04/2018, 00:53

Bueno una validación nunca esta demás no, además si no existe el email y no válidas eso como dice triby, las siguientes variables entran en error automaticamente:

Código PHP:

Ver original$data       = $resultados->fetch_array(MYSQLI_ASSOC);
$correo2    = $data['correo'];
$clave      = $data['clave'];

también sería bueno utilizar un try catch para generar excepciones en caso de errores críticos

ceysmar · #7 (**permalink**) 09/04/2018, 07:12

Cita:

Iniciado por xfxstudios

Bueno una validación nunca esta demás no, además si no existe el email y no válidas eso como dice triby, las siguientes variables entran en error automaticamente:

también sería bueno utilizar un try catch para generar excepciones en caso de errores críticos

cierto modo pues tienes razón pero la verdad exista o no exista el correo no me entra ningún error de igual manera ese inicio pinzo cambiar la estructura de las condiciones if así que en su momento le agregare dicha comprobacion en este momento me encuentro con dudas en otra cosa y estoy usando mi tiempo libre para ello