¿Qué son las cookies?
¿Cómo se emplean las cookies con PHP?
¿Qué son las sesiones?
¿Cómo se emplean las sesiones con PHP?
En esta práctica tienes que emplear las cookies para conservar información de los usuarios entre diferentes visitas al sitio web. En concreto, tienes que emplear las cookies desde PHP para:
En la Figura 2 se muestra un ejemplo de cómo se tiene que hacer lo que se pide: a la izquierda se muestra el formulario de acceso cuando no se está recordando a un usuario, mientras que a la derecha aparece cómo se tiene que visualizar cuando se está recordando a un usuario.
Cuando se está recordando a un usuario, el usuario no tiene que introducir su nombre de usuario y contraseña para poder acceder a la parte privada, el acceso tiene que ser directo. En la Figura 2 se muestra un botón “Acceder”, pero este botón no es necesario si la parte privada y la parte pública de la aplicación están integradas.
Muy importante: se tiene que comprobar que el nombre de usuario y la contraseña almacenadas al recordar un usuario coinciden con la lista de usuarios válidos. Sólo se tiene que recordar la información de un usuario, el último usuario que haya seleccionado la opción de recordar.
Además, tienes que emplear las sesiones de PHP para controlar el correcto acceso como usuario registrado. Ahora mismo existe un problema de seguridad en el sitio web: si se conoce la URL, se puede acceder directamente a la página con el menú de usuario registrado sin tener que pasar por la página de control de acceso. Tienes que programar un sistema para que sólo se muestre la página con el menú de usuario registrado a aquellos usuarios que hayan introducido un nombre de usuario y una contraseña correctos.
Además, en la Página menú usuario registrado (la página principal de la parte privada) tienes que mostrar el nombre de usuario del usuario que ha accedido con un mensaje del estilo Hola Pepito.
Además, la Página detalle foto, que muestra todos los datos de una foto seleccionada en la página principal o en la página con el listado resultado de una búsqueda, sólo debe ser visible para aquellos usuarios que se hayan registrado e identificado. Los usuarios no registrados pueden ver el listado, pero no el detalle de cada foto.
En las prácticas de CSS realizaste varios estilos para tu sitio web: un estilo “clásico” sin características de diseño adaptativo (responsive design), un estilo adaptativo y un estilo accesible. Incluso, es posible que creases temas con variaciones de color y de tipo de letra sobre una misma hoja de estilo. Algunos navegadores permiten a través de un menú seleccionar el estilo alternativo, pero no todos los navegadores lo permiten. Además, cuando se selecciona un estilo alternativo, al pasar de una página web a otra de un mismo sitio web a través de un enlace, no se conserva la selección del estilo alternativo y se muestra siempre el estilo principal. ¿Cómo se puede resolver este problema?
En esta práctica tienes que emplear las sesiones de PHP para conservar el estilo seleccionado por el usuario. Por ahora, la selección del estilo no se puede cambiar, la tienes que almacenar con los datos de los usuarios que puedan acceder a la parte privada. En una próxima práctica tendrás que permitir que el usuario seleccione el estilo alternativo que desea.
Por último, en el menú de usuario registrado tienes que añadir la opción Salir11 para que finalice la sesión del usuario e impida un acceso posterior sin antes volver a introducir un nombre de usuario y una contraseña o volver a acceder como usuario recordado en el equipo. No se tiene que implementar una opción “Olvidarme”: los datos recordados se borran cuando el usuario cierra la sesión de forma explícita.
Con el fin de aclarar el funcionamiento de la práctica, a continuación se comenta el funcionamiento de Twitter (Figura 3) y Wordpress (Figura 4):
La parte privada de la aplicación y su integración con la parte pública la puedes plantear de varias formas. Dos formas típicas son:
En la realización de esta práctica puedes aplicar cualquiera de estas dos estrategias o cualquiera similar.
Una cookie es un fragmento de información que un navegador web almacena en el disco duro del visitante a una página web. La información se almacena a petición del servidor web, ya sea directamente desde la propia página web con JavaScript o desde el servidor web mediante las cabeceras HTTP, que pueden ser generadas desde un lenguaje de web scripting como PHP. La información almacenada en una cookie puede ser recuperada por el servidor web en posteriores visitas a la misma página web.
Las cookies resuelven un grave problema del protocolo HTTP: al ser un protocolo de comunicación “sin estado” (stateless), no es capaz de mantener información persistente entre diferentes peticiones. Gracias a las cookies se puede compartir información entre distintas páginas de un sitio web o incluso en la misma página web pero en diferentes instantes de tiempo.
En PHP se emplea la función setcookie() para asignar valor a una cookie. El prototipo de esta función es:
Para borrar una cookie, se tiene que asignar a la cookie una fecha de caducidad (expire) en el pasado, es decir, una fecha anterior a la actual.
Para recuperar el valor de una cookie se emplea el array predefinido $_COOKIE con el nombre de la cookie como índice. También se puede emplear $_REQUEST, que contiene la unión de $_COOKIE, $_POST y $_GET.
En la siguiente página se cuenta el número de visitas que realiza un usuario al visitar la página; este contador conserva su valor durante un año aún a pesar de que un usuario cierre el navegador y tarde días en volver a visitar la página:
En el código anterior, fíjate cómo se emplea la función isset() para comprobar si una variable ha sido inicializada.
Importante: las cookies se envían al cliente mediante encabezados HTTP. Como cualquier otro encabezado, las cookies se deben enviar antes que cualquier salida que genere la página (antes que <html>, <head> o un simple espacio en blanco).
Sin embargo, se puede emplear un buffer de salida para almacenar (retener) la salida generada, en cuyo caso se puede enviar un encabezado en cualquier momento, pero con la sobrecarga que supone por un lado almacenar en el servidor toda la salida antes de ser enviada y por otro lado no recibir la página en el cliente hasta que el código PHP no haya terminado completamente. Esto se puede lograr con las funciones ob_start() y ob_end_flush() en la propia página, o configurando el parámetro output_buffering en el fichero php.ini.
Una sesión es un mecanismo de programación de las tecnologías de web scripting que permite conservar información sobre un usuario al pasar de una página a otra, es decir, entre diferentes accesos a un mismo sitio web. A diferencia de una cookie, los datos asociados a una sesión se almacenan en el servidor y nunca en el cliente.
En la mayoría de las tecnologías de web scripting, las sesiones se implementan mediante una cookie que almacena un valor que identifica al usuario en el servidor web cada vez que pasa de una página web a otra. En el servidor web están almacenados todos los datos de la sesión y se accede a ellos cada vez que se pasa de página gracias al identificador almacenado en la cookie.
En Mozilla Firefox podemos ver las cookies que tenemos almacenadas, con su valor y fecha de caducidad. En la Figura 5 podemos ver la cookie PHPSESSID que se emplea en PHP para almacenar el identificador de una sesión. Además, el siguiente código de PHP muestra el identificador de una sesión y el nombre de la cookie que almacena la sesión:
El siguiente ejemplo cuenta el número de visitas que realiza un usuario a una página web. A diferencia del contador realizado con una cookie en el ejemplo anterior, este contador sólo funciona durante el tiempo de existencia de la sesión, si el usuario cierra el navegador y vuelve a acceder a la página, el contador se reiniciará desde uno:
Para destruir una sesión y toda la información que contiene lo mejor es borrar explícitamente toda la información contenida en el array $_SESSION, borrar la cookie que contiene el identificador de la sesión y por último destruir la sesión con una llamada a la función session_destroy():
Pero la sesión también puede desaparecer por otras razones:
Para controlar el acceso a una página web de una zona privada se suele emplear una variable de sesión que se inicializa con cierto valor en la página de control de acceso; en las páginas donde se quiere controlar si el usuario tiene permiso para acceder se consulta el valor de la variable de sesión para ver si tiene el valor esperado. Si no contiene el valor esperado, lo normal es mostrar una página con un mensaje de error o redirigir al usuario a la página principal del sitio web.
Recuerda que las páginas que contengan código PHP tienen que tener la extensión .php. Si modificas alguna página web que ya tengas hecha de prácticas anteriores para añadirle código PHP, tendrás que cambiarle la extensión y corregir todos los enlaces que apunten a esa página.
Recuerda que para que el código PHP se ejecute, la página web tiene que pasar por el servidor web para que éste se la pase al intérprete de PHP. Para ello, tienes que cargar la página a través del servidor web: la URL de conexión tiene que tener la forma http://localhost. Si en la barra de direcciones del navegador ves escrito algo del estilo file:///D:/..., el código PHP no se ejecutará.
El manual de PHP te lo puedes descargar en diferentes formatos de su sitio web14 para tenerlo siempre a mano y poder hacer las búsquedas de información rápidamente. También puedes acceder a través de Internet a la ayuda de cualquier función de PHP escribiendo el nombre de la función a continuación de la URL http://php.net/. Por ejemplo, http://php.net/header muestra la ayuda de la función header().
Recuerda que debes poner al principio de la página session_start() en todas las páginas donde quieras utilizar las sesiones. Si no lo pones y accedes a la variable $_SESSION no obtendrás ningún resultado.
Recuerda que en PHP puedes emplear las funciones include() y require() para reutilizar código entre diferentes páginas:
No te líes con las cookies y las sesiones, se parecen, pero no son lo mismo:
En la práctica no puedes emplear JavaScript, así que debes impedir que la cookie sea accesible por JavaScript, ¿lo sabes hacer?
Almacenar el nombre de usuario y la contraseña de usuario registrado directamente en una cookie es una mala práctica, ya que supone un problema de seguridad porque cualquier persona que use el ordenador donde se almacena la cookie puede tener acceso a esos datos y puede utilizarlos para suplantar la identidad del usuario y conectarse como ese usuario desde otros ordenadores. Una solución puede ser almacenar los datos encriptados o, mucho mejor, no almacenar directamente los datos, sino algún tipo de identificador (también encriptado) asociado con el usuario en el servidor. Evidentemente, sigue existiendo el peligro de que alguien suplante al usuario, pero sólo si tiene acceso a ese ordenador16.
Si se está empleando un ordenador compartido no se debe activar la opción de “recordarme en este equipo”, porque entonces cualquier persona que utilice el ordenador podrá acceder con el perfil del usuario almacenado. Cuando utilices un ordenador compartido, emplea la opción Limpiar información privada... en Mozilla Firefox o Eliminar el historial de exploración... en Microsoft Internet Explorer para eliminar todo rastro de tus datos personales y de tu actividad en el navegador. O mucho mejor, utiliza la opción de “navegación privada” o “navegación de incognito” que existen en la mayoría de los navegadores web.
Existen diferentes opciones para consultar, modificar y eliminar las cookies que almacena un navegador web. Por ejemplo, en Google Chrome puedes emplear la extensión Web Developer17 y en Mozilla Firefox puedes emplear Cookie Manager18. La Figura 6 muestra las cookies que contiene la página principal del sitio web de la Universidad de Alicante mediante la opción “View Cookie Information” de Web Developer. Para cada cookie se muestra su nombre, valor, dominio y ruta en la que existe, fecha de caducidad y los flags de segura y solo disponible en el servidor. Se puede ver que hay un botón para eliminar (Delete) la cookie y otro para modificarla (Edit).
1http://tools.ietf.org/html/rfc2965
2http://es.wikipedia.org/wiki/Cookie
3http://www.cookiecentral.com/c_concept.htm
4http://www.php.net/manual/es/features.cookies.php
5http://www.w3schools.com/PHP/php_cookies.asp
6http://www.ignside.net/man/php/cookies.php
7http://livedocs.adobe.com/dreamweaver/8_es/using/wwhelp/wwhimpl/common/html/wwhelp.htm?context=LiveDocs_Parts\&file=34_obt10.htm
8http://www.securityfocus.com/infocus/1774
9http://www.php.net/manual/es/features.sessions.php
10http://www.w3schools.com/php/php_sessions.asp
11O Cerrar sesión, como la quieras llamar.
12http://php.net/manual/es/session.configuration.php#ini.session.cookie-lifetime
13http://www.php.net/manual/en/session.configuration.php#ini.session.gc-maxlifetime
14http://www.php.net/download-docs.php
15http://www.php.net/manual/es/session.configuration.php\#ini.session.cookie-lifetime
16En la información almacenada en la cookie, también conviene almacenar información asociada al ordenador para evitar que la cookie sea robada y utilizada desde otro ordenador.
17https://chrome.google.com/webstore/detail/web-developer/bfbameneiokkgbdmiekhjnmfkcnldhhm?hl=es
18https://addons.mozilla.org/es/firefox/addon/a-cookie-manager/