Consulta sobre este código

novoweb · #1 (**permalink**) 04/03/2011, 10:54

ola PHPriends, yo de nuevo. toi trabajando en un sitio web, con sistema de registro y login. como muchos de ustedes, también soi autodidacta en el tema, por lo q qisiera exponer los códigos q he escrito para q qienes saben más me los revisen y me digan si algo anda mal y en lo q tengo q mejorar.

Formulario de Registro: register.htm

Código HTML:

Ver original<h1>Registro</h1>
<form name="fomr1" method="post" action="registrar.php">
Username: <input name="nombreUsuario" type="text" id="username"><br>
Password: <input name="passwordUsuario" type="password" id="password"><br><br>
<input type="submit" name="Submit" value="Registro">
</form>

Código Registro: registrar.php

Código PHP:

Ver original<?php
session_start();
include("conectar_bd.php");
if(!($_POST['nombreUsuario'] || $_POST['passwordUsuario'])) {
    echo "Complete todos los campos";
    }   elseif(!$_POST['passwordUsuario'])  {
    echo "Ingrese password";
    }   elseif(!$_POST['nombreUsuario'])    {
    echo "Ingrese nombre";
    }   else    {
    $username=$_POST['nombreUsuario'];
    $password=$_POST['passwordUsuario'];
    mysql_query("INSERT into usuarios (nombreUsuario,passwordUsuario) values ('$username','$password')");
    }
    $_SESSION['s_nombreUsuario']=$username;
    header("Location:private.php");
?>

Formulario de Login: login.htm

Código HTML:

Ver original<h1>Inicia Sesi&oacute;n</h1>
<form name="fomr1" method="post" action="entrar.php">
Username: <input name="nombreUsuario" type="text" id="username"><br>
Password: <input name="passwordUsuario" type="password" id="password"><br><br>
<input type="submit" name="Submit" value="Iniciar Sesi&oacute;n">
</form>

Código Login: entrar.php

Código PHP:

Ver original<?php
session_start();
include("conectar_bd.php");
if(!($_POST['nombreUsuario'] || $_POST['passwordUsuario'])) {
    echo "Complete todos los campos";
    }   elseif(!$_POST['passwordUsuario'])  {
    echo "Ingrese password";
    }   elseif(!$_POST['nombreUsuario'])    {
    echo "Ingrese nombre";
    }   else    {
    $username=$_POST['nombreUsuario'];
    $password=$_POST['passwordUsuario'];
    $query=mysql_query("SELECT nombreUsuario,passwordUsuario FROM usuarios WHERE nombreUsuario='$username' and passwordUsuario='$password'");
    $data=mysql_fetch_array($query);
    if($data['nombreUsuario'] != $username || $data['passwordUsuario'] != $password)    {
        echo "Datos incorrectos";
        }   else    {
        $_SESSION['s_nombreUsuario']=$data['nombreUsuario'];
        header("Location:private.php");
        }
    }
?>

Código de página privada: private.php

Código PHP:

Ver original<?php
session_start();
if(!isset($_SESSION['s_nombreUsuario']))    {
    header("Location:videotutoriales_login.php");
    }   else    {
    echo ("Hola <strong>".$_SESSION['s_nombreUsuario']."</strong>, est&aacute;s en tu p&aacute;gina privada.");
    }
?>
<html>
<head><title>Privada</title></head>
<body>
<form name="form2" method="post" action="unsession.php">
<input type="submit" name="finsesion" value="Cerrar Sesi&oacute;n">
</form>
</body>
</html>

Código fin de sesion: unsession.php

Código PHP:

Ver original<?php
session_start();
if(isset($_POST['finsesion']))  {
    session_unset();
    session_destroy();
    header("Location:login.htm");
    exit;
    include("cerrar_coneccion_bd.php");
}
?>

lair · #2 (**permalink**) 06/03/2011, 16:45

Hola.

algo que siempre debes de cuidar es la inyeccion sql
leete este articulo:
http://es.wikipedia.org/wiki/Inyecci%C3%B3n_SQL

despues intenta inyectarle codigo a tu aplicacion y despues ve como puedes hacer para evitar que ese codigo no te haga daño.

Suerte.