Ejercicio PHP: Autenticación de usuarios con sesiones en PHP y MySQL
Este es un ejemplo simple de autenticación de usuarios usando sesiones en PHP y consultando a una base de datos en MySQL. Voy a evitar pegar demasiado código en el post y me limitare a colocar enlaces hacia otra ubicación donde sea mas inteligible el mismo. (Solo pondré las partes esenciales en el post, el resto de código está en los enlaces)
En primer lugar, algunos datos necesarios:
- Servidor: localhost
- Usuario: usuario_mysql
- Password: clave_mysql
- Nombre de la base de datos: ejemplos
Luego el esquema simple de la tabla usuarios, que almacenara el nombre del usuario y la clave.
La manera mas práctica de organizar funciones en PHP es ubicarlas en un solo archivo, en este caso lo denominare funciones.php y este es su contenido. Este archivo posee funciones que permiten conectarse a la base de datos, consultar la existencia de un registro en la misma y verificar si la sesión fue iniciada con el nombre de usuario, cada vez que se desee utilizar solo bastaría poner include(‘funciones.php’) para incluirlo en cualquier script PHP.
Una vez que tenemos las funciones creadas, ya podemos empezar con el formulario de entrada (index.php), lo importante es que contenga algo tan simple como esto:
<form method=’POST’ action=’index2.php’>
Usuario <input type=’text’ name=’usuario’/><br/>
Password <input type=’password’ name=’clave’><br/>
<input type=’submit’ value=’Ingresar’/><br/>
</form>
Este formulario enviara dos valores (usuario y clave) hacia el archivo index2.php, este archivo recogerá los datos enviados y los usará en la función conexiones(), si el usuario existe se iniciará la sesión e ingresará a las páginas permitidas para el usuario (ingreso.php, sistema.php), si no existe volverá al formulario de ingreso.
<?php
include (‘funciones.php’);
//usuario y clave pasados por el formulario
$usuario = $_POST['usuario'];
$clave = $_POST['clave'];
//usa la funcion conexiones() que se ubica dentro de funciones.php
if (conexiones($usuario, $clave)){
header(‘Location:ingreso.php’);
} else {
header(‘Location: index.php’);
}
?>
Ingreso.php y todas las páginas que se desean mantener disponibles solo a usuarios registrados deberán tener la forma de:
<?php
include (‘funciones.php’);if (verificar_usuario()){
//aqui debe venir todo el contenido necesario que solo el usuario validado puede acceder
print “Desconectarse <a href=’salir.php’/>aqui</a>”;
} else {
header(‘Location:index.php’);
}
?>
Donde se usa la función verificar_usuario(), para permitir el acceso si es que el nombre del usuario fue configurado en una sesión, si la función devuelve un valor falso, retornara al formulario de entrada. Es necesario que todas las paginas posean parte de este código, así se evitará que un intruso pueda poner la url de una pagina interna y esta sea visible o accesible sin haber verificado al usuario.
Para salir del sistema y borrar la sesión se usa el archivo salir.php, este archivo contiene instrucciones para destruir la sesión y volver al formulario de ingreso, también esta validado solamente para usuarios verificados:
<?php
include (‘funciones.php’);
if (verificar_usuario()){
session_unset();
session_destroy();
header (‘Location:index.php’);
} else {
header (‘Location:index.php’);
}
?>
Lo que no se debe olvidar al agregar mas paginas al sitio es incluir el archivo de funciones.php y usar la función verificar_usuario() para poder elegir entre el contenido al que debe acceder el usuario validado y el contenido para el visitante (usuario no validado).
Este ha sido un ejemplo simple de uso de sesiones en PHP, consultando a una base de datos en MySQL, existen muchas formas de lograr esto y obviamente mejorarlo, este es solo un ejercicio, útil para comprender el uso de sesiones.
Happy PHP Coding 
Para los que van a copiar este ejemplo ciegamente, $_POST y ningún otro dato enviado por usuarios debe usarse directamente en nuestro código sin sanearlo antes.
El ejemplo de Sergio es tan solo para *ilustrar* cómo funcionan las sesiones, no lo clonen.
eso
lo que dice Diego es muy cierto, el uso de $_POST y cualquier función que permita al usuario ingresar valores, deben complementarse con otras funciones que eviten que se puedan ingresar valores no permitidos y así sufrir ataques.
Aquí algunos detalles adicionales:
http://www.onlamp.com/pub/a/php/2003/03/20/php_security.html
happy coding
si podria colgar el codigo de cargar imagenes en php y mysql .. gracias
Mil gracias esta bien explicado
Profesor Sergio, una pregunta si es un sitio web en la que todos entraran para ver mi sistema de incidencias, entonces ya no manejo autentecacion de usuarios ?, o estaba pensando que la página tenga permisos osea el usuario que es administrador tenga permisos despues de logarse para administrar el sitio, y los que no, solo vean listas de las incidencias que ocurren.
uyyy creo que me enrede jeje, bueno tengo esa duda
Permisos para el administrador y moderadores, el resto debe ver la lista de incidencias pero no editarla.
Muy bueno el ejercicio, claro como el agua.
Se agradece!
José.
esta bueno el tutorial
Muchas gracias. El mejor tutorial sobre autentificación que he encontrado. Enhorabuena por el trabajo
seria interesante agregarle a este ejemplo la parte de encriptacion y administracion de cuentas :p
Hola, me funciona todo correcto mi pregunta es como seria para al entrar el usuario tenga la opcion de ver su perfil (sus datos) individualmente
Para ello habria que lanzar una consulta adicional a la BD considerando los privilegios adicionales
Buen tutorial,gracias por el aporte y sigue asi.
<?php
include (‘funciones.php’);
if (verificar_usuario()){
//aqui debe venir todo el contenido necesario que solo el usuario validado puede acceder
print “Desconectarse aqui”;
} else {
header(‘Location:index.php’);
}
?>
cuando yo pongo esto en cada pagina por seguridad para que nadie entre me da este :Warning: session_start() [function.session-start]: Cannot send session cache limiter – headers already sent (output started at C:\AppServ\www\proenvio\step1.php:10) in
como me pueden ayudar?
Eso es porque la sesión ya fue iniciada en el archivo step1.php, debes revisar eso, para evitar conflictos de inicio de sesión
Excelente el tutorial!
gracias por la ayuda ya pude resolver el problema
Profe una preguntita si es posible, como seria el post que para cuando se registre un nuevo usuario tenga que validar la cuenta por email. Muchas Gracias Horacio
me podrias ayudar a saber como mantengo mi sesion abierta en todas mis paginas?
Hola buen día, esta muy bien el tutorial pero como seria para ODBC tengo tiempo buscándolo pero no he podido encontrar nada, les agradecería mucho, soy novato en esto
GRACIAS
Hay alguna manera de modificar este codigo para hacer un nivel de acceso a diversas paginas por ejemplo el administrador tener privilegios de entrar a todas las paginas y los demas usuario solo puedan entrar un numero limitado de paginas, me imagino que se puede, podrian ayudarme con el codigo.
gracias
profe disculpe tengo una consulta como podria hacer para que cuando ingrese ya sea el usuario o contraseña incorrecta x 3 veces ps me salga un anuncio o solo se cierre la pagina como podria hacer eso?
Holla Holla …. yo tengo una pregunta, como puedo evitar que el usuario al salir de la secion se le de por ir “atras” a la pagina de acceso en el navegador y que este vuelva y cargue la informacion de loguea al darle “reenviar” ??
No se si me hice entender bien.
Excelente ejemplo, sencillo y práctico, gracias.
Yo tengo una duda, como o donde se le agregaria el codigo para que despues de un tiempo determinado digase 5min expire la sesion.
Gracias, excelente ejemplo.
nice
Excelente, muchas Gracias!