Ok, ahora mismo estoy escribiendo mientras instalo y configuro Windows Server 2008 para mi trabajo pero entre una cosa y la otra, voy a buscar cada cosa. Y no, no puedo usar HTTPS, solo HTTP, así que ya veré como se hace lo de Ajax. Si me trabo te escribo y te comento o te muestro si lo logro, como quedó. Hasta la próxima duda

ok, te pongo al tanto de la situación. Una red "local" con aproximadamente 25 mil usuarios divididos por subnodos donde cada usuario da mensualmente un aporte de 1 USD para permanecer "online". Yo quiero hacer en mi nodo un proyecto que lleve el estado de ese dinero y en qué se usa. Pero quiero que los administradores solo podamos acceder desde nuestra PC. Así evitamos que otros traten de suplantarnos. Yo tengo una tabla "usuarios" con campos: usuario, password, IP. El usuario aprendi de ti como llevarlo a hex con

bin2hex 

(lo vi hace 2 dias en una respuesta que diste) y el password con

password_hash()

y la IP como varchar de 15 caracteres, pero no tengo herramientas para hacer un login de 2 pasos, así que quería añadirle esa seguridad. De manera que aun con nuestro password no puedan entrar desde otro lugar. La IP se puede cambiar por eso buscaba la forma. Pero no sé NADA de JS así que no puedo intentar hacerlo por ese método. Si me pudieras ayudar usando PHP (para entenderlo) o un código ya hecho en JS (y su explicación) te lo agradecería. Gracias por siempre responder. Si algún dia vienes a Cuba me avisas!!! Ya tienes Hospedaje

Intro: Estuve leyendo y se habla de usar varios métodos aparte del JS (porque el usuario lo puede deshabilitar)
Idea: Si creo una cookie con algún valor específico para luego comparar, es posible usarla como fingerprint? No sé, usar un color, un string generado y eso guardarlo en la BD y luego comparar el valor que se recoge de la cookie con el de la BD? Es muy dificil de hacer? O es algo inutil?

Ok, entonces tendré que buscar otra medida que me permita hacer única una PC para mayor seguridad. ¿Conoces alguna medida que se pueda tomar en estos casos? Y gracias por la ayuda tan tarde.

Hola a todos. EL proyecto en el que estoy trabajando vincula a cada usuario con su IP para que no puedan acceder con ese usuario desde otro lugar. Pues me gustaría también poder obtener la direccion MAC (o ARP como se le conoce) ya que la IP es modificable pero la MAC no (Al menos en Windows que es el S.O que usan TODOS mis usuarios). Agradezco desde antes y espero que me puedan ayudar.

No soy avanzado en PHP, ni siquiera soy medio segun mi propio criterio, pero lo que he leido al respecto es lo siguiente:
Existen varias formas de conectarse a una BD. En PHP por ejemplo, existen 3 que son básicas:

• MySql
• mysqli
• PDO

Donde:
MySql es la versión antigua, actualmente sin soporte y posiblemente desaparezca en futuras versiones.
mysqli: Es la versión actual, orientada a objetos y con mayor desempeño que su antecesora.
PDO: Es una capa abstracta para conexion a las BD donde te permite ejecutar las mismas sentencias indiferente del tipo de conexion que uses: SLQ, Ocacle, etc. Es muy útil cuando vas a iniciar una aplicación con una BD y luego usar otra (ej: MySql y luego MSSQL).

Siguiendo esta linea de pensamiento, a mi entender, el orden sería: Utilizar MySql como último recurso o no utilizarlo ya que será eliminado posiblemente en futuras versiones. Luego de eso, sería escoger entre mysqli y PDO. Donde la importancia sería si quieres mejor rendimiento (mysqli) o posibilidades de migración (PDO).
No sé si me enredé mucho, pero es lo poco que sé.

Gracias. Ya vi que lo que estaba haciendo era cifrar nuevamente antes de comparar. No me habia dado cuenta que el password_verify lleva el string original y el hash que está guardado. Ok. Tema resuelto entonces

Hola a todos. Hace un tiempo Engel Lex y !drvy me ayudaron con el tema de la encriptacion de las contraseñas al insertarlas en las BD. Estaba usando el método

crypt($pass, $salt)

pero según la documentación de PHP,

password_hash($string, PASSWORD_DEFAULT)

tiene un mayor cifrado. Pues bien, en este caso, está contraindicado utilizar un $salt y de hecho en futuras versiones será eliminada la opción. Pues bien, mi problema: Cuando realizo el registro en la BD lo hago de la siguiente forma:

//Página de registro
include "bd.php"
//recoger datos del formulario
        $user=$_POST['usuario'];
	$pass=$_POST['password'];
 
//cifrar la contraseña para añadirla a la BD
$cifrar=password_hash($pass, PASSWORD_DEFAULT);
 
$sql="insert into $tabla1 (usuario, password, rank) values ('$user', '$cifrar', 1)";
$consulta = $mysqli->query ($sql) or die ("Problemas al insertar datos:<br>".mysqli_error($mysqli));
 

Y creeme que inserta los datos a la perfección. Ahora... cuando voy a acceder a esos datos, hago lo siguiente:

//Página de registro
include "bd.php"
//recoger datos del formulario
        $user=$_POST['usuario'];
	$pass=$_POST['password'];
 
//cifrar la contraseña para añadirla a la BD
$cifrar=password_hash($pass, PASSWORD_DEFAULT);
 
$sql="select * from $tabla1 where usuario='$user' LIMIT 1";
$consulta = $mysqli->query($sql) or die ("Usuario no encontrado");
$reg = $consulta->fetch_array();
 
if (password_verify($cifrar, $reg['password'])) 
        {
                echo "Las contraseñas coinciden";
	}
else
	{
		echo "Password enviado: ".$cifrar."<br>";
		echo "Password almacenado: ". $reg['password'];
	}
 

Pero lo que hace es generar un nuevo hash en vez de generar el mismo. Probé escribiendo como contraseña 12345678 para descartar que fuera que escribía mal la contraseña pero nada. No funciona. Y sé que estoy haciendo algo mal porque si es una función recomendada, debe funcionar bien

Voy a intentar desarrollar esa idea sin pedir ayuda. Es algo que voy a intentar para progresar pues no es lógico que siempre que quiera hacer algo venga aqui a pedir ayuda. Aunque dentro de un rato si vengo a postear un error con password_hash. Hasta entonces... Puedo declarar el tema como Resuelto

No los pase por alto, pero tengo un problema: Mi internet se demora bastante (5 minutos para abrir una web). Solo carga bien lo que tengo en cache (como el foro) y a veces entiendo poco del contenido porque está hecho como "manual" y ustedes aqui en su afan de ayudar transcriben ese lenguaje a "baby steps" que cualquiera pueda entender. De hecho cuando cargó fue que me di cuenta que se podía usar mysqli en POO y que es igual de intuitiva. Gracias, creo que hasta nuevo aviso, voy a usar mysqli lo que tengo que cuidar el código para que no se me escape en un momento de apuro, la idea de ligar ambos estilos, procedimental y POO ya que el código queda muy ilegible aun cuando pueda funcionar