¿Es seguro?

iEnrique · #1 (**permalink**) 31/07/2014, 16:39

¡Hola a todos!

Me quería aseguridad de que el registro de usuarios que he hecho es totalmente seguro, para ello he utilizado mysqli con sentencias preparadas, además de unos sistemas de verificación contra ataques nuevos para mí.

He creado una función y algunas cosas que se me han ocurrido para todo esto, espero que esté bien seguro y si no lo está os agradecería que me añadierais algunos detalles si queréis por si se me ha saltado algo...

PD: La contraseña la encripto de forma segura con crypt() pero la he quitado para que no sepáis el algoritmo

Código PHP:

Ver original<?php
$mysqli = new mysqli("localhost", "root", "", "redbuff");
function clean($var, $type){
    $var = mysql_real_escape_string(addslashes($var));
    if($type == "interger"){
        settype($var, "int");
        $var = ereg_replace("[^0-9]", "", $var);
    }elseif($type == "string"){
        settype($var, "string");
        $var = ereg_replace("[^a-zA-Z]", "", $var);
    }elseif($type == "float"){
        settype($var, "float");
        $var = ereg_replace("[^0-9\-]", "", $var);
    }elseif($type == "boolean"){
        settype($var, "int");
        $var = ereg_replace("[^0-9]", "", $var);
    }elseif($type == "alpha"){
        $var = ereg_replace("[^a-zA-Z0-9]", "", $var);
    }
    return $var;
}
$user = ''; $password = ''; $email = ''; $message = '';
$user = clean($_GET['user'], "alpha"); $password = clean($_GET['password'], "none"); $email = ereg_replace("[^a-zA-Z0-9@\-_\.]", "", clean($_GET['email'], "none"));
$sentencia = $mysqli->prepare("SELECT id FROM accounts WHERE user= ?");
$sentencia->bind_param("s", $user);
$sentencia->execute();
$result = $sentencia->get_result();
$num_user = $result->num_rows;
$sentencia->close();
$sentenciam = $mysqli->prepare("SELECT id FROM accounts WHERE email= ?");
$sentenciam->bind_param("s", $email);
$sentenciam->execute();
$resultm = $sentenciam->get_result();
$num_email = $resultm->num_rows;
$sentenciam->close();
if($num_user == 0 && $num_email == 0 && $user != '' && $password != '' && $email != ''){
    $insertuser = $mysqli->prepare("INSERT INTO accounts(user, password, email) VALUES(?, ?, ?)");
    $insertuser->bind_param('sss', $user, $password, $email);
    $insertuser->execute();
    $intertuser->close();
}else{
    if($email == '' || $user == ''){
        $_SESSION['error'] = 'Te faltan datos';
    }elseif($num_email == 0){
        $_SESSION['error'] = 'Ese email ya existe';
    }elseif($num_user == 0){
        $_SESSION['error'] = 'Ese usuario ya existe';
    }
}
//Fin del archivo

Muchas gracias,
Enrique.

Alexis88 · #2 (**permalink**) 31/07/2014, 16:57

Dos cosas: Las funciones ereg_* están obsoletas a partir de PHP 5.3.0, en su lugar, debes de utilizar la funciones PCRE. Por otro lado, si estás usando la extensión mejorada MySQLi, deberías de usar la función mysqli_real_escape_string y no mysql_real_escape_string, que es la que veo que usas.

Saludos

iEnrique · #3 (**permalink**) 01/08/2014, 06:22

Hola,

Muchas gracias Alexis, he tomado en consideración lo que me has dicho y ya he hecho todos los cambios.

Quería preguntar una cosa que no viene a cuento pero para no crear otro tema mejor lo pregunto aquí y quien sepa/quiera/pueda que me conteste y yo se lo agradecería. La duda es que mi página es internacional y quiero que si un inglés ve la hora desde su país le aparezca ajustada a su hora y no la del español que ha publicado el mensaje por ejemplo.

Yo publico el mensaje en España que son las 14:26 y que un canadiense en vez de ver las 14:26 que vea las 9:26, ¿con qué función podría hacer eso en PHP?

Gracias a todos.