Datos visibles solo para usuarios registrados

cyber_dark · #1 (**permalink**) 01/07/2010, 19:16

Saludos, primero que nada esta web es muy buena, mucho contenido eh sacado de aquí, entre ellos, me tope con un error que aun no logro resolver, espero puedan ayudarme, la cosa es esta, lo que quiero hacer, es que solo usuarios registrados puedan ver cierto contenido, para ello me base en este código:

index.php

Código:

<html> 
<head> 
<title>Autentificación PHP</title> 
</head> 
<body> 
<h1>Autentificación PHP</h1> 
<form action="control.php" method="POST"> 
<table align="center" width="225" cellspacing="2" cellpadding="2" border="0"> 
<tr> 
<td colspan="2" align="center" 
<?if ($_GET["errorusuario"]=="si"){?> 
bgcolor=red><span style="color:ffffff"><b>Datos incorrectos</b></span> 
<?}else{?> 
bgcolor=#cccccc>Introduce tu clave de acceso 
<?}?></td> 
</tr> 
<tr> 
<td align="right">USER:</td> 
<td><input type="Text" name="usuario" size="8" maxlength="50"></td> 
</tr> 
<tr> 
<td align="right">PASSWD:</td> 
<td><input type="password" name="contraseña" size="8" maxlength="50"></td> 
</tr> 
<tr> 
<td colspan="2" align="center"><input type="Submit" value="ENTRAR"></td> 
</tr> 
</table> 
</form> 
</body> 
</html>

control.php

Código:

<? 
//vemos si el usuario y contraseña es váildo 
if ($_POST["usuario"]=="miguel" && $_POST["contraseña"]=="qwerty"){ 
    //usuario y contraseña válidos 
    //defino una sesion y guardo datos 
    session_start(); 
    $_SESSION["autentificado"]= "SI"; 
    header ("Location: aplicacion.php"); 
}else { 
    //si no existe le mando otra vez a la portada 
    header("Location: index.php?errorusuario=si"); 
} 
?>

seguridad.php

Código:

<? 
//Inicio la sesión 
session_start(); 

//COMPRUEBA QUE EL USUARIO ESTA AUTENTIFICADO 
if ($_SESSION["autentificado"] != "SI") { 
    //si no existe, envio a la página de autentificacion 
    header("Location: index.php"); 
    //ademas salgo de este script 
    exit(); 
} 
?>

aplicacion.php

Código:

<?include ("seguridad.php");?> 
<html> 
<head> 
<title>Aplicación segura</title> 
</head> 
<body> 
<h1>Si estás aquí es que te has autentificado</h1> 
<br> 
---- 
<br> 
Aplicación segura 
<br> 
---- 
<br> 
<br> 
<a href="salir.php">Salir</a> 
</body> 
</html>

Todo el codigo anterior funciona a la perfección el unico detalle es que yo tengo un registro de usuarios, y para ello tube que modificar el archivo control.php y quedo asi:

control.php

Código:

<?php

session_start();
mysql_connect("localhost","miusuario","micontraseña");
mysql_select_db("mibase") or die('No se puede seleccionar la base de datos');

if ($_POST['usuario']) {
$contraseña=$_POST['contraseña'];
if ($contraseña==NULL) {
echo "La contraseña no fue enviada";
}else{
$query = mysql_query("SELECT usuario,contraseña FROM usuarios WHERE usuario = '$usuario'") or die(mysql_error());
$data = mysql_fetch_array($query);
if($data['contraseña'] != $contraseña) {


header("Location: index.php?errorusuario=si"); 


}else{

    $_SESSION["autentificado"]= "SI"; 
    header ("Location: aplicacion.php"); 


}
}
}
?>

Este codigo hace la comprobación, si los datos no son correctos lo manda al index.php para iniciar sesion, si los datos son correctos lo manda a aplicacion.php, el unico problema es que los usuarios pueden entrar desde el navegador a aplicacion.php, y es ese el error que aun no logro solucionar no se que estoy haciendo espero puedan ayudarme. De antemano gracias

miguec04 · #2 (**permalink**) 02/07/2010, 07:21

Pues bueno amigo yo no aria eso de esa forma

Código PHP:

Ver original<?php
 
session_start();
mysql_connect("localhost","miusuario","micontraseña");
mysql_select_db("mibase") or die('No se puede seleccionar la base de datos');
 
if ($_POST['usuario']) {
$contrase&#241;a=$_POST['contraseña'];
if ($contrase&#241;a==NULL) {
echo "La contraseña no fue enviada";
}else{
$query = mysql_query("SELECT usuario,contraseña FROM usuarios WHERE usuario = '$usuario'") or die(mysql_error());
$data = mysql_fetch_array($query);
if($data['contraseña'] != $contrase&#241;a) {
 
 
header("Location: index.php?errorusuario=si"); 
 
 
}else{
 
    $_SESSION["autentificado"]= "SI"; 
    header ("Location: aplicacion.php"); 
 
 
}
}
}
?>

Me parece mejor esta otra forma

Código PHP:

Ver original<?php
 
session_start();
mysql_connect("localhost","miusuario","micontraseña");
mysql_select_db("mibase") or die('No se puede seleccionar la base de datos');
 
// !empty me dice si la variable existe y viene llena
if (!empty($_POST['usuario']) && !empty($_POST['contrasena'])) {
{
//la funcion addslashes me ayuda con la seguridad para eviatar injections
$user=addslashes($_POST['usuario']);
$pass=addslashes($_POST['contrasena']);
 
$query = mysql_query("SELECT usuario,contrasena FROM usuarios WHERE usuario = '$user' && contrasena='$pass' ") or die(mysql_error());
$cant=mysql_num_rows($query);
 
if($cant==1)
{
$_SESSION["autentificado"]= "SI"; 
header ("Location: aplicacion.php");
}
else
{
echo '<script>alert("Este usuario no existe"); location.href="index.php";</script>';
}
 
}
else
{
//retornamos un mensaje diciendo que todos los datos no fueron diligenciados;
echo '<script>alert("Todos los campos son obligatorios"); location.href="index.php";</script>';
}
?>

creo que esta bien jejejejeje, perdóname si me falto algo. me avisas si te sirvio.

cyber_dark · #3 (**permalink**) 02/07/2010, 17:12

El segundo esta más completo solo una, cosa me marca error con un else, le quite el de la linea 8, y funciono a la perfección, pero creo esta mal, por que entonces se abren 3 llaves y se cierran 4, asi que no se cual otra debo quitar, o si esta bien lo que hice. Y una ultima cosa, eh visto portales y foros como el phpnuke y smf que cuando uno inicia sesión, se muestran datos en la misma página que antes no se veia, mi pregunta es, si sigue siendo la misma página, y si es asi como se hace eso? O es otra página a la que se redirecciona mediante la función include, por que en el navegador se sigue mostrando index.php. Y muchas gracias por responderme.

miguec04 · #4 (**permalink**) 03/07/2010, 05:27

1. mira el error es que se me fue mas de un corchete solo uno de demas

Código HTML:

Ver originalif (!empty($_POST['usuario']) && !empty($_POST['contrasena'])) {{

en la linea 8

quita el corchete del final que quede asi

Código PHP:

Ver originalif (!empty($_POST['usuario']) && !empty($_POST['contrasena'])) {

y bueno si queres mostrar informacion tenes que hacer varias cosas, a mi me gusta trabajar POO Programacion orientada a objetos es mas facil a mi parecer de validar informacion, cuando se muestra informacion de dirente tipo en el mismo archivo se puede mostrar por medio de parametros GET, POST, SESSION como lo desees manejar entonces haces una validacion por ejemplo

si variable_GET=="noticias"
entonces
mostrar informacion de noticias
SINO entonces
si variable_GET=="clasificados"
mostrar clasificados
SINO
mostrar lo que tu quieras

bueno esta es solo una forma de hacerlo encones podes poner el include dentro de cada validacion y solo mostrare la informacion de la condicion que sea cierta.

espero haberme dado a entender.

cyber_dark · #5 (**permalink**) 04/07/2010, 01:34

Gracias amigo, el código funciona a la perfección y muchas gracias por tú tiempo, ahora solo unas ultimas dudas, me di cuenta que al usar siempre la función <?include ("seguridad.php");?> en cada archivo, cuando inicien sesión siempre los va a redireccionar a un solo archivo, lo ideal seria que por ejemplo como en esta página te redireccione a la pagina anterior antes de tener que inicar sesión, entonces use la variable $_SERVER['HTTP_REFERER'] y quedo de esta forma el código:

Código:

<?php
	 
session_start();
mysql_connect("localhost","miusuario","micontraseña");
mysql_select_db("mibase") or die('No se puede seleccionar la base de datos');
	 

$url=$_SERVER['HTTP_REFERER']; 

// !empty me dice si la variable existe y viene llena
if (!empty($_POST['usuario']) && !empty($_POST['contraseña'])) {

//la funcion addslashes me ayuda con la seguridad para eviatar injections
$user=addslashes($_POST['usuario']);
$pass=addslashes($_POST['contraseña']);
	 
$query = mysql_query("SELECT usuario,contraseña FROM usuarios WHERE usuario = '$user' && contraseña='$pass' ") or die(mysql_error());
$cant=mysql_num_rows($query);
 
if($cant==1)
{
$_SESSION["autentificado"]= "SI"; 
header ("Location: " .$url);
}
else
{
echo '<script>alert("Este usuario no existe"); location.href="registro.php";</script>';
}
 
}
else
{
//retornamos un mensaje diciendo que todos los datos no fueron diligenciados;
echo '<script>alert("Todos los campos son obligatorios"); location.href="registro.php";</script>';
}
?>

Y funciona perfecto, el unico detalle, es que si iniciaban sesión desde una página que se llame registro.php, siempre se va a redireccionar a la página registro.php, y lo ideal seria que se valla al index.php, y use este código:

Código:

<?php
	 
session_start();
mysql_connect("localhost","miusuario","micontraseña");
mysql_select_db("mibase") or die('No se puede seleccionar la base de datos');
	 



if($_SERVER['PHP_SELF']=registro.php)
{
$url= "index.php";
}
else
{
$url= $_SERVER['HTTP_REFERER'];
}



// !empty me dice si la variable existe y viene llena
if (!empty($_POST['usuario']) && !empty($_POST['contraseña'])) {

//la funcion addslashes me ayuda con la seguridad para eviatar injections
$user=addslashes($_POST['usuario']);
$pass=addslashes($_POST['contraseña']);
	 
$query = mysql_query("SELECT usuario,contraseña FROM usuarios WHERE usuario = '$user' && contraseña='$pass' ") or die(mysql_error());
$cant=mysql_num_rows($query);
 
if($cant==1)
{
$_SESSION["autentificado"]= "SI"; 
header ("Location: " .$url);
}
else
{
echo '<script>alert("Este usuario no existe"); location.href="registro.php";</script>';
}
 
}
else
{
//retornamos un mensaje diciendo que todos los datos no fueron diligenciados;
echo '<script>alert("Todos los campos son obligatorios"); location.href="registro.php";</script>';
}
?>

Pero no funciona, siempre me manda a la página anterior, espero puedas ayudarme a solucionar esto.

cyber_dark · #6 (**permalink**) 04/07/2010, 01:41

Y ya para acabar, lo que te preguntaba de mostrar datos a usuarios registrados en la misma página, lo que pasa es que tengo una página donde los usuarios publican material y me gustaria que cuando inicien sesion, puedan ver el bóton de editar y de borrar (El codigo de la función de estos botones ya los tengo) intente poner algo asi en mi index.php pero tampoco funciono:

Código:

<html> 
<body> 


<?if ($_SESSION["autentificado"]="SI"){?> 

<a href="editar.php"> Editar </a>
<a href="borrar.php"> Borrar </a>



<?}else{?> 


    <form name="formulario" method="post" action="iniciar_sesion.php">
    Visitante. Por favor, <a href=""><b>ingresa</b></a> o <a href=""><b>registrate.</b></a>
    <br><br>
    <input type="text" name="usuario" id="usuario">&nbsp<input type="password" name="contraseña" id="contraseña">
    <br><br>
    <input type="submit" value="Iniciar Sesion">
    </form>


<?}?> 

---------
Aqui el resto del código de mi página.

</body> 
</html>

Y creo eso seria todo, y enserio muchas gracias por tu ayuda y por tu tiempo.

cyber_dark · #7 (**permalink**) 06/07/2010, 20:55

Nadie sabe?

miguec04 · #8 (**permalink**) 09/07/2010, 13:57

Bueno parcero creo saber donde esta tu error

Código PHP:

Ver original<?php
     
session_start();
mysql_connect("localhost","miusuario","micontraseña");
mysql_select_db("mibase") or die('No se puede seleccionar la base de datos');
     
 
 
/*AQUI ESTA TU ERROR estas condicionando una cadena de caracteres y lo tenes que hacer con comillas no puedes hacer la comparación de esta forma.*/
if($_SERVER['PHP_SELF']=registro.php)
{
$url= "index.php";
}
else
{
$url= $_SERVER['HTTP_REFERER'];
}
 
 
 
// !empty me dice si la variable existe y viene llena
if (!empty($_POST['usuario']) && !empty($_POST['contraseña'])) {
 
//la funcion addslashes me ayuda con la seguridad para eviatar injections
$user=addslashes($_POST['usuario']);
$pass=addslashes($_POST['contraseña']);
     
$query = mysql_query("SELECT usuario,contraseña FROM usuarios WHERE usuario = '$user' && contraseña='$pass' ") or die(mysql_error());
$cant=mysql_num_rows($query);
 
if($cant==1)
{
$_SESSION["autentificado"]= "SI"; 
header ("Location: " .$url);
}
else
{
echo '<script>alert("Este usuario no existe"); location.href="registro.php";</script>';
}
 
}
else
{
//retornamos un mensaje diciendo que todos los datos no fueron diligenciados;
echo '<script>alert("Todos los campos son obligatorios"); location.href="registro.php";</script>';
}
?>

lo correcto seria:

Código PHP:

Ver original<?php
     
session_start();
mysql_connect("localhost","miusuario","micontraseña");
mysql_select_db("mibase") or die('No se puede seleccionar la base de datos');
     
 
 
/*Esta es la forma correcta.*/
if($_SERVER['PHP_SELF']=="registro.php")
{
$url= "index.php";
}
else
{
$url= $_SERVER['HTTP_REFERER'];
}
 
// !empty me dice si la variable existe y viene llena
if (!empty($_POST['usuario']) && !empty($_POST['contraseña'])) {
 
//la funcion addslashes me ayuda con la seguridad para eviatar injections
$user=addslashes($_POST['usuario']);
$pass=addslashes($_POST['contraseña']);
     
$query = mysql_query("SELECT usuario,contraseña FROM usuarios WHERE usuario = '$user' && contraseña='$pass' ") or die(mysql_error());
$cant=mysql_num_rows($query);
 
if($cant==1)
{
$_SESSION["autentificado"]= "SI"; 
header ("Location: " .$url);
}
else
{
echo '<script>alert("Este usuario no existe"); location.href="registro.php";</script>';
}
 
}
else
{
//retornamos un mensaje diciendo que todos los datos no fueron diligenciados;
echo '<script>alert("Todos los campos son obligatorios"); location.href="registro.php";</script>';
}
?>

ahora vi otro error, estabas poniendo la condición con un solo igual (=) y esto no se puede así, tenes que hacerlo con doble igual (==) en .net si se maneja un solo igual para condición y para asignación.

espero haberte ayudado con esta primera inquietud voy a leer la siguiente a ver que pasa.

miguec04 · #9 (**permalink**) 09/07/2010, 14:04

Pues bueno yo lo aria de la siguiente forma espero te sirva:

Código PHP:

Ver original<html> 
<head><title>Index de la pagina</title></head>
<body> 
 
 
<?php
session_start();
if ($_SESSION["autentificado"]=="SI") { ?> 
 
<a href="editar.php"> Editar </a>
<a href="borrar.php"> Borrar </a>
 
 
 
<?php } else { ?> 
 
 
    <form name="formulario" method="post" action="iniciar_sesion.php">
    Visitante. Por favor, <a href=""><b>ingresa</b></a> o <a href=""><b>registrate.</b></a>
    <br><br>
    <input type="text" name="usuario" id="usuario">&nbsp<input type="password" name="contraseña" id="contraseña">
    <br><br>
    <input type="submit" value="Iniciar Sesion">
    </form>
 
 
<?php } ?> 
 
---------
Aqui el resto del código de mi página.
 
</body> 
</html>

mira ten cuidado con los fundamentos de PHP recuerda las condiciones en el if de igualdad son con doble igual (==) en ambos casos tenias ese error, ahora las etiquetas te recomiendo que utilizes <?php //codigo ?> ya que la mayoría de servidores las reconocen creo que también hay un problema en las versiones de PHP con las que tu utilizas que son <?//codigo?>.

espero haberte colaborado.

y Gracias a foros del web, por brindar este espacio de compartir conocimientos yo le debo mucho a este foro y de una u otra forma siento que correspondo esos favores con lo que me han ayudado.

cyber_dark · #10 (**permalink**) 10/07/2010, 20:50

Saludos, gracias amigo pero esta vez ninguno de los dos casos funciono, el primero lo pude arreglar con otras cosas, pero el segundo, no funciona para nada. Sabes de otra forma que se pueda hacer?