Mayor proteccion en registro de usuarios?

rompeguesos · #1 (**permalink**) 26/04/2009, 15:54

Hola alguien me puede decir si hay algun modo de mejorar la seguridad en el siguiente codigo de registro de usuarios? y si lo hay podeis decir como?

Código PHP:

  <?php 
include("config.php"); 
// Preguntaremos si se han enviado ya las variables necesarias  
if (isset($_POST["email"])) {  
$correo = $_POST["email"]; 
$password = $_POST["password"];  
$cpassword = $_POST["cpassword"];  
 
//recoger direccion ip 
$ip = $_SERVER['REMOTE_ADDR']; 
 
// Hay campos en blanco  
if($password==NULL|$cpassword==NULL|$correo==NULL) {  
header("location: formreg.php?error=1");  
}else{  
 
//Validar direccion de email 
if (!preg_match( 
'/^[^0-9][a-zA-Z0-9_]+([.][a-zA-Z0-9_]+)*[@][a-zA-Z0-9_]+([.][a-zA-Z0-9_]+)*[.][a-zA-Z]{2,4}$/', 
$correo)) { 
header("location: formreg.php?error=2");  
}else{  
 
//Minimo de caracteres en campo contraseña 
if (strlen($password)<4) 
{ 
header("location: formreg.php?error=3"); 
  // no tiene mas de 4 caracteres 
}else{ 
 
// ¿Coinciden las contraseñas?  
if($password!=$cpassword) {  
header("location: formreg.php?error=4"); 
}else{  
 
//encriptar contraseña 
$password = md5($password); 
 
// Comprobamos si la cuenta de correo ya existe  
$checkemail = mysql_query("SELECT email FROM usu WHERE email='$correo'");  
$email_exist = mysql_num_rows($checkemail);  
 
if ($email_exist>0) {  
header("location: formreg.php?error=5");  
}else{ 
 
//Todo parece correcto procedemos con la inserccion  
$query = "INSERT INTO usu (password, email, ip, fecha) VALUES('$password','$correo','$ip', NOW())";  
mysql_query($query) or die(mysql_error());  
echo "El usuario $correo ha sido registrado de manera satisfactoria.<br/>Esta parte de la página está en construcción.<br/><br/><a href=\"../../index.php\">Pulsa aquí para volver a la página principal.</a>"; 
}  
}  
}  
}   
} 
} 
?>

acoevil · #2 (**permalink**) 26/04/2009, 17:32

Como recomendacion debes filtrar la informacion que recibes de los formularios

http://www.php.net/strip-tags

http://www.php.net/mysql_real_escape_string

Mira esta funcion (Elaborada por otro forero solo que no me acuerdo quien)

http://www.php.net/str_replace

function no_permitidos($cadena)
{
$nopermitidos = array("'",'\\','<','>',"\"",";","$","%","&","/","|","{","}","[","]","+","#");
$cadena = str_replace($nopermitidos,"", $cadena);
return $cadena;
}

Puedes buscar en el en el buscador del foro sobre filtrar informacion de formularios con esto evitas ataques por parte de usuarios malintencionados.

Investiga sobre inyecciones SQL y XSS

#3 (**permalink**) 26/04/2009, 17:34

Usa SIEMPRE mysql_real_escape_string() con datos que provengan del cliente y que vayan a formar parte de una consulta sql.

Además, siempre es recomendado poner límites en cuanto a la longitud de datos ingresados (OJO, en plural, osea un límite inferior y también uno superior).

rompeguesos · #4 (**permalink**) 26/04/2009, 17:43

1º.- Si no entiendo mal quereis decir que ponga un limite de caracteres insertados maximo y un minimo de caracteres insertados no?

2º.- El codigo que yo uso es ese que publique mas arriba y la verdad es que no se como usar mysql_real_escape_string(), me podriais decir como se usaria en mi codigo para desde ahora en adelante saber como seria?

Muchas gracias.

acoevil · #5 (**permalink**) 26/04/2009, 20:46

Si podrias poner algo como el minimo de un login seria 6 caracteres y el maximo 12 cosas como esa, por la contraseña no te preocupes esa que tenga la longitud que se ha.

rompeguesos · #6 (**permalink**) 27/04/2009, 07:25

Vale hasta hay todo perfecto pero alguien me puede decir como uso mysql_real_escape_string() en mi codigo?

Gracias