seguridad en formulario

cheterporras2 · #1 (**permalink**) 11/11/2011, 13:59

Hola,¿qué tal?:

Tengo un problemilla, sé bastante poco de php, y necesito ayuda. Veréis, tengo un formulario, funciona perfectamente, pero quiero ponerle algún tipo de seguridad, que nunca se sabe... He visto un código para restringir los caracteres del usuario al ingresar, pero no sé ponerlo a funcionar debidamente, he intentado llamarla de diferentes maneras, pero no lo consigo, porque siempre me sale error en el código. ¿Podríais echarme una mano?, muchas gracias. Por cierto, si sale alguna expresión con espacios, es un error al cortar y pegar, no del código. Este es el codigo completo (en rojo la función a la que me gustaría llamar):

<?php
include("conexion.php");
function formRegistro(){
?>

<?php

}
// verificamos si se han enviado ya las variables necesarias.
{
$usuario = $_POST['usuario'];
$contrasenna = $_POST['contrasenna'];
$repcontrasenna = $_POST['repcontrasenna'];
$email = $_POST['email'];
$nombre = $_POST['nombre'];
$nombreamo = $_POST['nombreamo'];
$raza = $_POST['raza'];
$telefono = $_POST['telefono'];
$edad = $_POST['edad'];
$sexo = $_POST['sexo'];
$provincia = $_POST['provincia'];
$capa = $_POST['capa'];

function comprobar_nombre_usuario_expresiones_regulares($us uario){
if (ereg("^[a-zA-Z0-9\-_]{3,20}$", $usuario)) {
echo "El nombre de usuario $usuario es correcto<br>";
return true;
} else {
echo "El nombre de usuario $usuario no es válido<br>";
return false;
}
}
// Hay campos en blanco

if($usuario=="" || $contrasenna=="" || $repcontrasenna=="" || $email=="" || $nombre=="" || $nombreamo=="" || $raza=="" || $telefono=="" || $edad=="" || $sexo=="" || $provincia=="") {
echo "un campo está vacio.";
formRegistro();
}else{
// ¿Coinciden las contraseñas?
if($contrasenna!=$repcontrasenna) {
echo "Las contraseñas no coinciden";
formRegistro();
}else{

$usuario = trim($_POST['usuario']);
$contrasenna = $_POST['contrasenna'];
$email = $_POST['email'];

$sql_chk = mysql_query("SELECT usuario, email FROM usuarios WHERE usuario='$usuario' OR email='$email'",$link) or die(mysql_error());
if(mysql_num_rows($sql_chk)>0){
echo "El nombre de usuario o la cuenta de correo estan ya en uso";
formRegistro();
} else {

mysql_query("INSERT INTO usuarios (usuario, contrasenna, ciudad, email, nombreamo, telefono, provincia) VALUES ('$usuario','$contrasenna','$ciudad','$email','$no mbreamo','$telefono','$provincia')",$link);

mysql_query("INSERT INTO animal (usuario, nombre, raza, edad, sexo,capa, pedigri) VALUES ('$usuario','$nombre','$raza','$edad','$sexo','$ca pa','$pedigri')",$link);

mysql_query("INSERT INTO fotos (nombre,foto) VALUES ('$nombre','$foto')",$link);

echo 'El usuario '.$usuario.' ha sido registrado de manera satisfactoria.<br />';
echo 'Ahora puede entrar ingresando su usuario y su password<br />';

}
?>

//Un formulario de login, que aparecera despues de el registro fue exitoso

<FORM ACTION="comprobar.php" METHOD="post">
Usuario : <INPUT TYPE="text" NAME="usuario" SIZE=20 MAXLENGTH=20><br />
Password: <INPUT TYPE="password" NAME="password" SIZE=10 MAXLENGTH=10><br />
<INPUT TYPE="submit" VALUE="Ingresar">
</FORM>
<?php

}
}
}

?>

CesarHC · #2 (**permalink**) 11/11/2011, 14:11

Aparte de que creo ereg es una funcion obsoleta y debes usar en vez de ella preg_match creo que tienes malesto.

Mal(tienes function comprobar_nombre_usuario_expresiones_regulares($us uario) separado).

Código PHP:

Ver originalfunction comprobar_nombre_usuario_expresiones_regulares($us uario){
if (ereg("^[a-zA-Z0-9\-_]{3,20}$", $usuario)) {
echo "El nombre de usuario $usuario es correcto<br>";
return true;
} else {
echo "El nombre de usuario $usuario no es válido<br>";
return false;
}
}

Bien

Código PHP:

Ver originalfunction comprobar_nombre_usuario_expresiones_regulares($usuario){
if (ereg("^[a-zA-Z0-9\-_]{3,20}$", $usuario)) {
echo "El nombre de usuario $usuario es correcto<br>";
return true;
} else {
echo "El nombre de usuario $usuario no es válido<br>";
return false;
}
}

jotaincubus · #3 (**permalink**) 11/11/2011, 14:13

Te recomiendo que busques una funcion mas nueva ya que ereg esta depreciada:

Cita:

Esta función ha sido declarada OBSOLETA desde PHP 5.3.0. Su uso está totalmente desaconsejado.

Para usar una función es solo llamarla y pasarle el parámetro después de que la creas:

comprobar_nombre_usuario_expresiones_regulares($us uario);

Ya con eso la llamas y le pasa el nombre del usuario, esta hará el trabajo, ponte a leer acerca de las funciones.

cheterporras2 · #4 (**permalink**) 11/11/2011, 14:19

Gracias por los comentarios, pero, es la única función que medio he entendido (no tenía ni idea de que estaba desaconsejada) y no sabría (en principio), adaptar otra función. De todas formas, ¿qué me recomendaríais? Por cierto, en mi mensaje ya he comentado, que si algo del código sale separado, es problema al pegar, pero de todas formas, gracias por intentarme ayudar, se valoran mucho las apreciaciones. :)

Por último, ya he leído sobre funciones y sé cómo se supone que se llaman, pero he tenido algunos problemillas al respecto, si fuera tan sencillo para mí, no pediría ayuda. No pido que me hagan el trabajo, sólo que me ayuden a entender algo que es difícil para mí. Gracias.

jotaincubus · #5 (**permalink**) 11/11/2011, 14:31

Yo hice una clase para validar datos y la puse como aporte pero parece que no gusto, así que te pongo un ejemplo acomodado a lo que necesitas:

Código PHP:

Ver original$expresión = '^[a-zA-Z0-9\-_]{3,20}$';
$usuario = "pepe";
 
function ValidarExpRegular($contenido, $expresion){
    $opcion = array("options" => array("regexp" => $expresion));
 
    if(filter_var($contenido, FILTER_VALIDATE_REGEXP, $opcion) === TRUE){
        echo "El usuario esta bien escrito.";
    }else{
        echo "El usuario no puede contener espacion etc etc etc";
    }
}
 
ValidarExpRegular($usuario, $expresion);

#6 (**permalink**) 12/11/2011, 12:21

<?php
include("conexion.php");
?>

<?php

// verificamos si se han enviado ya las variables necesarias.

$usuario = htmlentities(strip_tags(addslashes($_POST['usuario'])), ENT_QUOTES);
$contraseña= md5($_POST['contrasenna']);
$repcontrasenna= md5($_POST['repcontrasenna']);
$email= $_POST['email']; aqui debes verificar que es un email
$nombre= htmlentities(strip_tags(addslashes($_POST['nombre'])), ENT_QUOTES);
$nombreamo= htmlentities(strip_tags(addslashes($_POST['nombreamo'])), ENT_QUOTES);
$raza= htmlentities(strip_tags(addslashes($_POST['raza'])), ENT_QUOTES);
$telefono= (int)$_POST['telefono'];
$edad= (int)$_POST['edad'];
$sexo= htmlentities(strip_tags(addslashes($_POST['sexo'])), ENT_QUOTES);
$provincia= htmlentities(strip_tags(addslashes($_POST['provincia'])), ENT_QUOTES);
$capa= htmlentities(strip_tags(addslashes($_POST['capa'])), ENT_QUOTES);

// Hay campos en blanco

cambiando los input por los de este tipo nunca podran dejar campos en blanco
<input name="usuario" type="text" value="Usuario" size="20" maxlength="40" onfocus="this.value=(this.value=='Usuario') ? '' : this.value;" onblur="this.value=(this.value=='') ? 'Usuario' : this.value;"/>

if($usuario=="" || $contrasenna=="" || $repcontrasenna=="" || $email=="" || $nombre=="" || $nombreamo=="" || $raza=="" || $telefono=="" || $edad=="" || $sexo=="" || $provincia=="") {
echo "un campo está vacio.";

}else{

// ¿Coinciden las contraseñas?

if($contrasenna!=$repcontrasenna) {

echo "Las contraseñas no coinciden";

}else{

$sql_chk = mysql_query("SELECT usuario, email FROM usuarios ,$link) or die(mysql_error());
$row = mysql_fetch_array($sql_chk);

if($usuario == htmlentities(strip_tags(addslashes($row['usuario'])), ENT_QUOTES)){
echo "El nombre de usuario o la cuenta de correo estan ya en uso";

} elseif($contrasenna== htmlentities(strip_tags(addslashes($row['contrasenna'])), ENT_QUOTES));{{

echo "El nombre de usuario o la cuenta de correo estan ya en uso";

}else{

mysql_query("INSERT INTO usuarios (usuario, contrasenna, ciudad, email, nombreamo, telefono, provincia) VALUES ('$usuario','$contrasenna','$ciudad','$email','$no mbreamo','$telefono','$provincia')",$link);

mysql_query("INSERT INTO animal (usuario, nombre, raza, edad, sexo,capa, pedigri) VALUES ('$usuario','$nombre','$raza','$edad','$sexo','$ca pa','$pedigri')",$link);

mysql_query("INSERT INTO fotos (nombre,foto) VALUES ('$nombre','$foto')",$link);

echo 'El usuario '.$usuario.' ha sido registrado de manera satisfactoria.<br />';
echo 'Ahora puede entrar ingresando su usuario y su password<br />';

}}
?>

//Un formulario de login, que aparecera despues de el registro fue exitoso

<FORM ACTION="comprobar.php" METHOD="post">
Usuario : <INPUT TYPE="text" NAME="usuario" SIZE=20 MAXLENGTH=20><br />
Password: <INPUT TYPE="password" NAME="password" SIZE=10 MAXLENGTH=10><br />
<INPUT TYPE="submit" VALUE="Ingresar">
</FORM>
<?php

}
}
}
al hacer el login debes comprobar la contrasenna por md5

$contrasenna=md5($_POST['contrasenna']);
if($contrasenna == 'la contraseña de la base de datos'){

son iguales

}else{

no lo son

}

para compararla con la de la base de datos de lo contrario dara error en comprobar.php action del formulario
?>