Seguridad en registro de usuarios

X3mdesign · #1 (**permalink**) 04/02/2012, 13:15

Hola foro!!! Desde hace ya unos días, se me están "colando" en mi registro de usuarios... y la verdad es que no sé por donde...

Antes de iniciar el registro hago las siguientes comprobaciones, además tengo un chaptca o como se diga :P

Código PHP:

  $deNick = $deNombre = $_POST['tuDatos']; 
$deMail = $_POST['tuEmail']; 
if(!$deNick || !$deNombre || $deNick==''){ $error.='-15'; } 
if(!$deMail){ $error.='-4'; } 
if($_POST['deNick']=='') $error.='-15'; 
$query='SELECT * FROM usuarios WHERE login = "'.$deNick.'"'; 
if($sql->contarSQL($query)!=0){ $error.='-13'; } 
$query='SELECT * FROM usuarios WHERE email = "'.$deMail.'"'; 
if($sql->contarSQL($query)!=0){ $error.='-14'; } 
 
$passN=$_POST['passN']; 
$passR=$_POST['passR']; 
if(($passN) && ($passR)){ 
    if($passN!=$passR){ 
        $error.='-1'; break; 
    }else{ 
        $pass=$_POST['passN']; 
    } 
}else{ 
    if($passN || $passR){ $error.="-3"; }else{ $error.="-1"; } 
}

El formulario previo está por aquí: http://www.nippon-tour.com/popUp/registro/tuemail/

Muchas gracias, Luis.

Sourcegeek · #2 (**permalink**) 04/02/2012, 13:48

¿A qué te refieres con colar?

X3mdesign · #3 (**permalink**) 04/02/2012, 14:07

Gracias por el interés ;)

Se me están registrando usuarios sin "nick"

Código:

INSERT INTO `usuarios` (`id`, `login`, `pass`, `nivel_acceso`, `email`, `nombre`, `apellidos`, `nacimiento`, `sexo`, `pais`, `zonahoraria`, `ocupacion`, `aficiones`, `avatar`, `margen_superior`, `img_fondo`, `img_fondo_repeat`, `color_enlace`, `color_borde`, `color_fondo`, `color_txt`, `color_titulo`, `color_foto`, `color_ventana`, `color_pagina`, `color_escritorio`, `fav_suscripcion`, `fav_pelicula`, `fav_grupo_musical`, `fav_serie`, `fav_web`, `desde`, `ultimo_acceso`) 
VALUES
(565, '', '919dfc739a667d15555d53a201a8267b', '1', '[email protected]', '', '', '0000-00-00', '', '', 'Europe/Madrid', '', '', '', 0, '', 'no-repeat', '', '', '', '', '', '', '', 'FFFFFF', '', '0', '', '', '', '', '2012-02-02', '0000-00-00 00:00:00');

Sourcegeek · #4 (**permalink**) 04/02/2012, 14:18

Ah bueno. Necesitas comprobar que no hayan campos vacíos. Por ejemplo algo así:

Código PHP:

Ver original// Array con el nombre de los campos. Si son varios, esto reduciria codigo
$campos = array('nick', 'password', 'email');
 
// Comprobar que no esten vacios
foreach($campos as $c) {
    if(empty($_POST[$c]))
        die("Campo $c no puede estar vacio");
 
    // Esto transforma el string de $c a una variable con el mismo nombre
    $$c = $_POST[$c];
}
 
// Si todo fue correcto, podras ver el valor de cada variable:
echo "$nick - $password - $email";

Saludos!

X3mdesign · #5 (**permalink**) 04/02/2012, 17:25

Gracias Sourcegeek, lo probaré ;)