Autenticación de usuarios y sesiones en PHP

<?php

class User {
	var $id;
	var $name;
	var $email;
	
	function Authenticate($user, $password) {
		global $db, $site_key;

		$user = $db->get_row ( 
			'SELECT id, name, email, password 
				FROM users 
				WHERE username = \'' . $db->escape($user) . '\'');
		
		if ( $user && $user->password == md5( $site_key . $password ) ) {			
			$this->id = $user->id;
			$this->name = $user->name;
			$this->email = $user->email;
			return true;
		}
		return false;
	}
}

?>

 // login.php
<?php

include dirname(__FILE__) . '/db.php'; # genera una instancia de la clase ezSQL
include dirname(__FILE__) . '/user.php';

/*
if ( ! empty( $_SESSION['user'] ) ) {
	header( 'Location: /admin' );
	exit();
}
*/
if ( ! empty( $_POST['user'] ) && ! empty( $_POST['password'] ) ) {	
	$user = new User();
	if ( $user->Authenticate( $_POST['user'], $_POST['password'] ) === true ) {
		$_SESSION['user'] = $user;
		
		header( 'Location: /admin' );
		exit();
	}
}

?>

Entradas relacionadas

• Client does not support authentication protocol requested by server
• No Es…
• 10 errores más comunes que pueden causar problemas de seguridad en ASP.NET
• Protección de archivos con ASP.NET 2 e IIS 6
• Cookies de autenticación y contraseñas más seguras en WordPress
• Cinco cosas que tenemos que tomar en cuenta al diseñar un sitio web
• Fresqui, regalará un IPod ¿diario?
• ¿Usuarios torpes?
• Npgsql2 Beta 3
• WordPress: sitios que permiten la suscripción de usuarios y el “robo” de emails

menéame añadir a del.icio.us digg it

Comentarios | Escribe el tuyo →

1. 1

   ana
   23 de Octubre de 2006, 03:07:18 pm

   hola alguien me podria decir como le hago para que una vez que desplegue un reporte en php de una base de datos oracle pueda pasar esa tabla(reporte) a una pagina html?
   ojala me puedan ayudar o decirme en donde puedo encontrar algo parecido
   gracias

2. 2

   drbit
   23 de Octubre de 2006, 07:01:12 pm

   Estoy dudando del problema. Pero quizá sería más correcto que a la claúsula where de la consulta se le agregue un AND y se compare directamente también password. Recien ahí evaluamos sí $user no quedó vacío y se devuelve el true.

   Cual es la respuesta ?

3. 3

   alex
   23 de Octubre de 2006, 07:24:45 pm

   Tienes razón, se ahorrarían más recursos al hacer eso.

   Comentaré la solución el miércoles, por si no le “dan al clavo” en los comentarios :).

4. 4

   Antares
   24 de Octubre de 2006, 05:21:20 am

   hmm puess la verdad es q me he quedado mirando el código como 5 o 10 minutos con cara de besugo pero supongo que te refieres a que no cambia la entrada de datos del nombre de usuario ni la contraseña..
   La verdad es q no he leído la documentación de ezSQL pero supongo q si pones caracteres comodín el sistema lo daría por valido. vamos que el error es de inyección sql.. si ponemos % en un usuario y password entrara sin mas, al igual q podríamos modificar los datos del sistema si en vez de poner:
   %
   ponemos:
   ‘;INSERT INTO users (id, name, email, password) VALUES (”,’ADMIN’,'XXXX’); SELECT id, name, email, password FROM users WHERE username = ‘

   A parte otro posible problema podria ser pasar las variables por el post ya que de esa manera se corre mas riesgo de que se pueda hacer fuerza bruta. se tendria q verificar que la informacion biene de una web de dentro del servidor, y si se es ya hiperparanoico traerla encriptada desde el usuario con un javascript.

   A alguien se le ocurre algo mas :-S

5. 5

   alex
   24 de Octubre de 2006, 07:52:14 am

   Hola Antares,

   No pasa nada si se pones el comodín % en el usuario o password, puesto que en la consulta no se usa LIKE. Tampoco sucedería nada con la segunda cadena que pusiste, puesto que $db->escape llama internamente a mysql_real_escape_string.

   Sobre los ataques con fuerza bruta y captura de información, son posibles problemas, pero existe otro de mayor envergadura :).

6. 6

   drbit
   24 de Octubre de 2006, 09:43:33 pm

   A ver, otra que se me ocurre es que el problema este por acá:
   if ( ! empty( $_SESSION[’user’] ) ) {
   header( ‘Location: /admin’ );
   exit();
   }

   Igual no me queda muy claro como se explotaría pero $_SESSION[’user’] podría estar sucio por alguna razón y aplicar la redirección. De todas maneras dentro de /admin no tendría que haber ninguna protección, cosa rara si se está usando autentificación por sesiones.

   Pero bue capaz se me está pasando otra cosa más peligrosa.

   Adios.

7. 7

   alex
   25 de Octubre de 2006, 07:14:05 pm

   El código mostrado sufre de un tipo de ataque denominado Session Fixation (no sé como traducirlo :D), en el cuál un usuario puede capturar el ID de la sesión o asignar un ID de sesión de otro usuario, haciendo que los datos de esa sesión sean compartidos entre ambos.

   En un siguiente post explicaré con un poco más de detalle y un ejemplo práctico de este tipo de ataques.

8. 8

   Juanjo Navarro
   26 de Octubre de 2006, 02:51:30 am

   No se de qué manera ese código es vulnerable a “Session Fixation”. Ese código no acepta el código de sesión pasado por parámetro. ¿De qué manera puede un usuario fijar tu sesión entonces?

   No lo tengo claro.

9. 9

   alex
   29 de Octubre de 2006, 07:56:34 pm

   Tienes razón, el código parece ser que no es vulnerable a Session Fixation, sin embargo, si se elimina la primera condición si lo sería, puesto que el código mostrado en ningún momento regenera el ID de la sesión.

   Saludos
   PS. Disculpa por la demora en responder

10. 10

    cristian
    7 de Agosto de 2007, 07:33:21 pm

    Tengo una aplicación que usa smarty, en ellla uso sesiones para la autenticacion de usuarios, me han echo cambiar las tpl para cambiar el diseño.

    Con las antiguas TPLs funciona muy bien, pero con las nuevas no carga la sesión usando firefox pero usando IE funciona muy bien.

    La pregunta en cuestion es: ¿firefox modifica de alguna forma las sesiones?

    Desde luego, las sesiones se han echo para no ser modificadas desde el lado del cliente, pero sospecho que estas podrían cargarse o no cargarse según alguna cabecera que mande firefox.

    He comparado el html que manda la aplicación con una y otra tpl, buscando en el código que mandan los formularios y la cabecera html.

    Podrían guisas ustedes tener una idea mas clara de que podría ser.

11. 11

    Luciano
    4 de Octubre de 2007, 11:47:51 am

    hola, creo que lo mio es bien sencillo. Necesito dos campos en mi fomulario: uno “cedula” y otro “password”, si el usuario escribe bien su cedula y la clave que le pide el formulario entonces le devuelve ciertos registros de la tabla en el servidor con su info. Gracias desde ya.

12. 12

    max
    20 de Diciembre de 2007, 10:19:14 pm

    deseo un ejemplo mas sistematisado + seguro

13. 13

    unoMas
    10 de Marzo de 2008, 11:50:29 am

    creo que es vulnerable a sql inyeccion ya que a los valores que te da el usuario no le quitas las “” o ‘ o / o /*

14. 14

    Math
    15 de Mayo de 2008, 12:52:14 pm

    tengo un problema y es que cuando utilizo una clase para consultar mi BDD y luego utilizo header para direccionar a otra pagina me despliega un error

15. 15

    Juan
    7 de Junio de 2008, 10:19:06 am

    creo que el problema es que se están usando variables de sesión y nunca se ha iniciado una, es decir, no existe un “session_start();”

Deja un comentario