Comentarios en: Autenticación de usuarios y sesiones en PHP

Por: sdarknot

sdarknot — Sat, 05 Sep 2009 17:25:05 +0000

hola a todos he estado probando los ejemplo pero no me salen alguien por ahi tendra un ejemplito o este ejemplo y me lo podria mandar a mi correo sdarknot@gmail.com en verdad me interesa mucho aprender este estilo de programar bueno desde ya gracias xD .....

Por: Juan

Juan — Sat, 07 Jun 2008 15:19:06 +0000

creo que el problema es que se están usando variables de sesión y nunca se ha iniciado una, es decir, no existe un "session_start();"

Por: Math

Math — Thu, 15 May 2008 17:52:14 +0000

tengo un problema y es que cuando utilizo una clase para consultar mi BDD y luego utilizo header para direccionar a otra pagina me despliega un error

Por: unoMas

unoMas — Mon, 10 Mar 2008 16:50:29 +0000

creo que es vulnerable a sql inyeccion ya que a los valores que te da el usuario no le quitas las "" o ' o / o /*

Por: max

max — Fri, 21 Dec 2007 03:19:14 +0000

deseo un ejemplo mas sistematisado + seguro

Por: Luciano

Luciano — Thu, 04 Oct 2007 16:47:51 +0000

hola, creo que lo mio es bien sencillo. Necesito dos campos en mi fomulario: uno "cedula" y otro "password", si el usuario escribe bien su cedula y la clave que le pide el formulario entonces le devuelve ciertos registros de la tabla en el servidor con su info. Gracias desde ya.

Por: cristian

cristian — Wed, 08 Aug 2007 00:33:21 +0000

Tengo una aplicación que usa smarty, en ellla uso sesiones para la autenticacion de usuarios, me han echo cambiar las tpl para cambiar el diseño.

Con las antiguas TPLs funciona muy bien, pero con las nuevas no carga la sesión usando firefox pero usando IE funciona muy bien.

La pregunta en cuestion es: ¿firefox modifica de alguna forma las sesiones?

Desde luego, las sesiones se han echo para no ser modificadas desde el lado del cliente, pero sospecho que estas podrían cargarse o no cargarse según alguna cabecera que mande firefox.

He comparado el html que manda la aplicación con una y otra tpl, buscando en el código que mandan los formularios y la cabecera html.

Podrían guisas ustedes tener una idea mas clara de que podría ser.

Por: alex

alex — Mon, 30 Oct 2006 00:56:34 +0000

Tienes razón, el código parece ser que no es vulnerable a Session Fixation, sin embargo, si se elimina la primera condición si lo sería, puesto que el código mostrado en ningún momento regenera el ID de la sesión.

Saludos
PS. Disculpa por la demora en responder

Por: Juanjo Navarro

Juanjo Navarro — Thu, 26 Oct 2006 07:51:30 +0000

No se de qué manera ese código es vulnerable a "Session Fixation". Ese código no acepta el código de sesión pasado por parámetro. ¿De qué manera puede un usuario fijar tu sesión entonces?

No lo tengo claro.

Por: alex

alex — Thu, 26 Oct 2006 00:14:05 +0000

El código mostrado sufre de un tipo de ataque denominado Session Fixation (no sé como traducirlo ), en el cuál un usuario puede capturar el ID de la sesión o asignar un ID de sesión de otro usuario, haciendo que los datos de esa sesión sean compartidos entre ambos.

En un siguiente post explicaré con un poco más de detalle y un ejemplo práctico de este tipo de ataques.