Seguridad

lucasphp · #1 (**permalink**) 01/05/2009, 16:19

Hola, soy nuevo en el foro. Tengo un par de dudas acerca de la seguridad en php.
Necesito saber si en un login afecta el ingreso de caracteres como: "*,-,/, etc".
Uso la siguiente función por lo gral:
$cadena=str_replace("$"," ", $cadena);
$cadena=str_replace("'"," ", $cadena);
$cadena=str_replace(";"," ", $cadena);
¿es suficiente con ésto? Saludos!.

Adell · #2 (**permalink**) 01/05/2009, 16:32

todo simbolo sobre todo lo que te ayuda a poner javascript o a realizar consultas sql es peligroso, de todas formas te recomiendo que pases por php.net y revises funciones como strip_tags, htmlentities, mysql_real_escape_string
esas teserviran para dar el puntapie inicial

saludos y bienvenido

argy · #3 (**permalink**) 01/05/2009, 19:09

mmm como dice Adell ya hay funciones que te pueden ayudar a protegerte de ataques, entonces como que tu función no tiene mayor trascendencia para lo que necesitas.

Revisa el manual de php.
suerte.

buzu · #4 (**permalink**) 01/05/2009, 19:38

Me permito diferir con esto:

Cita:

todo simbolo sobre todo lo que te ayuda a poner javascript o a realizar consultas sql es peligroso,

Ningún símbolo es peligroso si es tratado correctamente. Personalmente prefiero no restringir el uso de símbolos en contraseñas para poder brindar al usuario la posibilidad de crear combinaciones más seguras.

lucasphp · #5 (**permalink**) 01/05/2009, 23:00

Cita:

Iniciado por buzu

Me permito diferir con esto:

Ningún símbolo es peligroso si es tratado correctamente. Personalmente prefiero no restringir el uso de símbolos en contraseñas para poder brindar al usuario la posibilidad de crear combinaciones más seguras.

claro, lo preguntaba por ésta clase de inyecciones:
' OR ''='
* usuario: admin AND /* password: */ ''='
* usuario: ' OR 1=1 //

por éso necesito eliminar ciertos caracteres; las comillas básicamente y el '$'.
le puse esta función:

function login($cadena){
$cadena=htmlentities(stripslashes(trim(($cadena))) );
$cadena=strip_tags($cadena);
$cadena=str_replace("$","",$cadena);
$cadena=str_replace("'","",$cadena);
$cadena=str_replace(";","",$cadena);
$cadena=str_replace("*","",$cadena);
return $cadena;
}

y cuando envío las variables en sql le paso el mysql_real_escape_string().

está bien así?

David · #6 (**permalink**) 01/05/2009, 23:07

No necesitas usar esa función que propones si usas mysql_real_escape_string(), ya que con esa función se escapan (no se borran) los caracteres especiales de modo que no pueden inyectar código SQL.

lucasphp · #7 (**permalink**) 01/05/2009, 23:13

Cita:

Iniciado por David el Grande

No necesitas usar esa función que propones si usas mysql_real_escape_string(), ya que con esa función se escapan (no se borran) los caracteres especiales de modo que no pueden inyectar código SQL.

si uso md5 tampoco?

David · #8 (**permalink**) 02/05/2009, 09:10

Si usas md5 no necesitas usar ni mysql_real_escape_string() ni la función que mencionas

acoevil · #9 (**permalink**) 02/05/2009, 09:30

Q tal mira esta funcion muy buena (alguien del foro la hizo no me acuerdo quien )

function validacion_completa($variable)
{
$variable=strip_tags($variable);
$nopermitidos = array("'",'\\','<','>',"\"",";","$","%","&","/","|","{","}","[","]","+","#");
$variable = str_replace($nopermitidos,"", $variable);
return $variable;

}

buzu · #10 (**permalink**) 02/05/2009, 11:18

Si estás usando md5 no necesitas eliminar esos caracteres por que al final no aparecerán en el resultado final. Como te dije desde un principio, ningún caracter es peligroso si es manejado de la forma correcta.