Tema: ¿Es seguro?
Ver Mensaje Individual
  #1 (permalink)  
Antiguo 31/07/2014, 16:39
Avatar de iEnrique
iEnrique
 
Fecha de Ingreso: abril-2013
Ubicación: España
Mensajes: 346
Antigüedad: 11 años
Puntos: 5
¿Es seguro?
¡Hola a todos!

Me quería aseguridad de que el registro de usuarios que he hecho es totalmente seguro, para ello he utilizado mysqli con sentencias preparadas, además de unos sistemas de verificación contra ataques nuevos para mí.

He creado una función y algunas cosas que se me han ocurrido para todo esto, espero que esté bien seguro y si no lo está os agradecería que me añadierais algunos detalles si queréis por si se me ha saltado algo...

PD: La contraseña la encripto de forma segura con crypt() pero la he quitado para que no sepáis el algoritmo

Código PHP: 
Ver original
  1. <?php
  2. $mysqli = new mysqli("localhost", "root", "", "redbuff");
  3. function clean($var, $type){
  4.     $var = mysql_real_escape_string(addslashes($var));
  5.     if($type == "interger"){
  6.         settype($var, "int");
  7.         $var = ereg_replace("[^0-9]", "", $var);
  8.     }elseif($type == "string"){
  9.         settype($var, "string");
  10.         $var = ereg_replace("[^a-zA-Z]", "", $var);
  11.     }elseif($type == "float"){
  12.         settype($var, "float");
  13.         $var = ereg_replace("[^0-9\-]", "", $var);
  14.     }elseif($type == "boolean"){
  15.         settype($var, "int");
  16.         $var = ereg_replace("[^0-9]", "", $var);
  17.     }elseif($type == "alpha"){
  18.         $var = ereg_replace("[^a-zA-Z0-9]", "", $var);
  19.     }
  20.     return $var;
  21. }
  22. $user = ''; $password = ''; $email = ''; $message = '';
  23. $user = clean($_GET['user'], "alpha"); $password = clean($_GET['password'], "none"); $email = ereg_replace("[^a-zA-Z0-9@\-_\.]", "", clean($_GET['email'], "none"));
  24. $sentencia = $mysqli->prepare("SELECT id FROM accounts WHERE user= ?");
  25. $sentencia->bind_param("s", $user);
  26. $sentencia->execute();
  27. $result = $sentencia->get_result();
  28. $num_user = $result->num_rows;
  29. $sentencia->close();
  30. $sentenciam = $mysqli->prepare("SELECT id FROM accounts WHERE email= ?");
  31. $sentenciam->bind_param("s", $email);
  32. $sentenciam->execute();
  33. $resultm = $sentenciam->get_result();
  34. $num_email = $resultm->num_rows;
  35. $sentenciam->close();
  36. if($num_user == 0 && $num_email == 0 && $user != '' && $password != '' && $email != ''){
  37.     $insertuser = $mysqli->prepare("INSERT INTO accounts(user, password, email) VALUES(?, ?, ?)");
  38.     $insertuser->bind_param('sss', $user, $password, $email);
  39.     $insertuser->execute();
  40.     $intertuser->close();
  41. }else{
  42.     if($email == '' || $user == ''){
  43.         $_SESSION['error'] = 'Te faltan datos';
  44.     }elseif($num_email == 0){
  45.         $_SESSION['error'] = 'Ese email ya existe';
  46.     }elseif($num_user == 0){
  47.         $_SESSION['error'] = 'Ese usuario ya existe';
  48.     }
  49. }
  50. //Fin del archivo

Muchas gracias,
Enrique.