Foros del Web » Programando para Internet » PHP »

Seguridad del Login???

Estas en el tema de Seguridad del Login??? en el foro de PHP en Foros del Web. holas cimutas del foro saben tengo una duda. al hacer un login y comprovacion del usuario si esta o no esta registrado, toy encriptando el ...
  #1 (permalink)  
Antiguo 10/02/2009, 09:58
 
Fecha de Ingreso: febrero-2009
Ubicación: Cusco - Peru
Mensajes: 142
Antigüedad: 10 años, 11 meses
Puntos: 0
Seguridad del Login???

holas cimutas del foro saben tengo una duda.

al hacer un login y comprovacion del usuario si esta o no esta registrado, toy encriptando el password con md5, pero el detalle es que el nombre de usuario lo estoy llevando tal y cual, ese es mi duda, al hacer la consultahago lo siguiente:

Código PHP:
$user=$_post['user'];
$pass=md5(strtoupper($_post['password']));
$sql="SELECT nombre, clave FROM tabla_usuario WHERE nombre='".$user."' AND clave='".$pass."'"
esta bien lo que hago o necesito hacerle algo mas para tener seguridad en mi scipt de login???

Agradezco de antemano sus comentarios
  #2 (permalink)  
Antiguo 10/02/2009, 10:05
okram
Invitado
 
Mensajes: n/a
Puntos:
Respuesta: Seguridad del Login???

Usa mysql_real_escape_string() para evitar inyecciones sql. Realiza una verificación de longitud tanto en $user como en $pass, y en $user podrías incluso usar expresiones regulares para validar el tipo de caracteres que trae (podrias restringir sólo a letras, números y algunos signos de puntuación).

Pero definitivamente, dejarlo así como lo tienes, te hace MUY vulnerable.

  #3 (permalink)  
Antiguo 10/02/2009, 10:50
 
Fecha de Ingreso: febrero-2009
Ubicación: Cusco - Peru
Mensajes: 142
Antigüedad: 10 años, 11 meses
Puntos: 0
Respuesta: Seguridad del Login???

gracias por la respuesta, ya lo hice para el user, pero es necesario hacer mysql_real_escape_string() para el password, ya que esto lo estoy pasando el md5???
  #4 (permalink)  
Antiguo 10/02/2009, 10:56
okram
Invitado
 
Mensajes: n/a
Puntos:
Respuesta: Seguridad del Login???

No. Si lo aplicas antes, entonces el hash md5() será distinto. Y no tiene sentido aplicarlo después, pues un hash md5 siempre tendrá solo números y letras. Lee qué es lo que hace esa función, así te darás cuenta del por qué de lo que te digo.

  #5 (permalink)  
Antiguo 10/02/2009, 11:43
 
Fecha de Ingreso: febrero-2009
Ubicación: Cusco - Peru
Mensajes: 142
Antigüedad: 10 años, 11 meses
Puntos: 0
Respuesta: Seguridad del Login???

gracias bro.

Saluditos!!
  #6 (permalink)  
Antiguo 10/02/2009, 23:12
 
Fecha de Ingreso: febrero-2009
Ubicación: Cusco - Peru
Mensajes: 142
Antigüedad: 10 años, 11 meses
Puntos: 0
Respuesta: Seguridad del Login???

Holas nuevamente por aqui, saben el mysql_real_escape_string lo puse en la oficina y corrio excelentemente, pero ahora q estoy en mi casa y quiero hacer correr el script me da el siuiente error
Código:
Warning: mysql_real_escape_string() [function.mysql-real-escape-string]: 
Access denied for user 'ODBC'@'localhost' (using password: NO) in .......
alguien sabe porke en la oficina si responde y en mi casa me da ese error??
  #7 (permalink)  
Antiguo 11/02/2009, 00:38
Avatar de argy  
Fecha de Ingreso: octubre-2007
Ubicación: Longitud 75º Latitud 18º Sur
Mensajes: 614
Antigüedad: 12 años, 2 meses
Puntos: 18
Respuesta: Seguridad del Login???

debes de conectarte con el usuario y password del servidor mysql de tu máquina.

el detalle es que en la oficina los datos de acceso a mysql eran otros y en tu máquina son otros, sólo reemplazalos.
__________________
Software libre para un mundo libre.

Eventualmente en el foro.
  #8 (permalink)  
Antiguo 11/02/2009, 07:13
 
Fecha de Ingreso: febrero-2009
Ubicación: Cusco - Peru
Mensajes: 142
Antigüedad: 10 años, 11 meses
Puntos: 0
Respuesta: Seguridad del Login???

pos no, tanto los valores de la oficina como en mi casa son los mismos, ya que se me olvido decir que si le quito el mysql_real_escape_string a mi variable usuario, si corre normal, el problema es cuando pongo el mysql_real_escape_string , la unica diferencia q le encuentro entre la oficina y mi casa es que en la oficina utilizo completamente el appserv y en mi casa solo instale el apache, php y phpmyadmin del appserv ya que ya tenia el mysql corriendo de una instalacion propiaq realice anteriormente.

Podria deberse a eso???
  #9 (permalink)  
Antiguo 11/02/2009, 08:06
okram
Invitado
 
Mensajes: n/a
Puntos:
Respuesta: Seguridad del Login???

mysql_real_escape_string() necesita una conexión abierta a un servidor MySQL para funcionar correctamente. Asegúrate de estar poniéndolo después de abrir la conexión. El mensaje de error que obtienes claramente indica que no hay una conexión abierta al momento de llamar a la función.

  #10 (permalink)  
Antiguo 11/02/2009, 11:14
 
Fecha de Ingreso: febrero-2009
Ubicación: Cusco - Peru
Mensajes: 142
Antigüedad: 10 años, 11 meses
Puntos: 0
Respuesta: Seguridad del Login???

a ya era eso , gracias.

Saluditos
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 04:42.