Seguridad del Login???

kerverin · #1 (**permalink**) 10/02/2009, 09:58

holas cimutas del foro saben tengo una duda.

al hacer un login y comprovacion del usuario si esta o no esta registrado, toy encriptando el password con md5, pero el detalle es que el nombre de usuario lo estoy llevando tal y cual, ese es mi duda, al hacer la consultahago lo siguiente:

Código PHP:

  $user=$_post['user']; 
$pass=md5(strtoupper($_post['password'])); 
$sql="SELECT nombre, clave FROM tabla_usuario WHERE nombre='".$user."' AND clave='".$pass."'";

esta bien lo que hago o necesito hacerle algo mas para tener seguridad en mi scipt de login???

Agradezco de antemano sus comentarios

#2 (**permalink**) 10/02/2009, 10:05

Usa mysql_real_escape_string() para evitar inyecciones sql. Realiza una verificación de longitud tanto en $user como en $pass, y en $user podrías incluso usar expresiones regulares para validar el tipo de caracteres que trae (podrias restringir sólo a letras, números y algunos signos de puntuación).

Pero definitivamente, dejarlo así como lo tienes, te hace MUY vulnerable.

kerverin · #3 (**permalink**) 10/02/2009, 10:50

gracias por la respuesta, ya lo hice para el user, pero es necesario hacer mysql_real_escape_string() para el password, ya que esto lo estoy pasando el md5???

#4 (**permalink**) 10/02/2009, 10:56

No. Si lo aplicas antes, entonces el hash md5() será distinto. Y no tiene sentido aplicarlo después, pues un hash md5 siempre tendrá solo números y letras. Lee qué es lo que hace esa función, así te darás cuenta del por qué de lo que te digo.

kerverin · #5 (**permalink**) 10/02/2009, 11:43

gracias bro.

Saluditos!!

kerverin · #6 (**permalink**) 10/02/2009, 23:12

Holas nuevamente por aqui, saben el mysql_real_escape_string lo puse en la oficina y corrio excelentemente, pero ahora q estoy en mi casa y quiero hacer correr el script me da el siuiente error

Código:

Warning: mysql_real_escape_string() [function.mysql-real-escape-string]: 
Access denied for user 'ODBC'@'localhost' (using password: NO) in .......

alguien sabe porke en la oficina si responde y en mi casa me da ese error??

argy · #7 (**permalink**) 11/02/2009, 00:38

debes de conectarte con el usuario y password del servidor mysql de tu máquina.

el detalle es que en la oficina los datos de acceso a mysql eran otros y en tu máquina son otros, sólo reemplazalos.

kerverin · #8 (**permalink**) 11/02/2009, 07:13

pos no, tanto los valores de la oficina como en mi casa son los mismos, ya que se me olvido decir que si le quito el mysql_real_escape_string a mi variable usuario, si corre normal, el problema es cuando pongo el mysql_real_escape_string , la unica diferencia q le encuentro entre la oficina y mi casa es que en la oficina utilizo completamente el appserv y en mi casa solo instale el apache, php y phpmyadmin del appserv ya que ya tenia el mysql corriendo de una instalacion propiaq realice anteriormente.

Podria deberse a eso???

#9 (**permalink**) 11/02/2009, 08:06

mysql_real_escape_string() necesita una conexión abierta a un servidor MySQL para funcionar correctamente. Asegúrate de estar poniéndolo después de abrir la conexión. El mensaje de error que obtienes claramente indica que no hay una conexión abierta al momento de llamar a la función.

kerverin · #10 (**permalink**) 11/02/2009, 11:14

a ya era eso , gracias.

Saluditos