Seguridad formulario acceso web

dasapa · #1 (**permalink**) 25/09/2017, 09:11

Hola,

me han pedido hacer una aplicación web para una empresa en la que se requiere de usuario y contraseña para poder acceder.

Siempre que he realizado algo similar he colocado en el index un formulario (method: post y action:login.php). El formulario contiene la típica cajita de usuario y contraseña.

El login.php recibe los dos parametros y si se encuentra la combinación (user-pass) en la tabla usuarios de la BBDD da acceso al cliente.

Tengo la duda de que alguien de la empresa me diga que esto no es suficientemente seguro, que son una empresa seria con información muy confidencial bla bla bla.? Lo veis correcto? Se puede añadir algo para dar mayor seguridad?

Gracias. Un saludo

David

petit89 · #2 (**permalink**) 25/09/2017, 09:45

En principio siempre será la misma estructura, los extras de seguridad principalmente serán comprobaciones/validaciones jquery/php...

puedes en primera instancia pedir contraseñas seguras, como has de haber visto en muchos sitios: la contraseña debe contener 1 numero, 1 mayuscula y una longitud de minimo 8 caracteres...

Validar estrictamente los datos recibidos en login.php antes de introducir estos a la sentencia SQL y no lo comun:

Código PHP:

Ver original$usuario = $_POST['usuario'];
$contra = $_POST['contra'];
$sql = "SELECT * FROM usuarios WHERE usuario='$usuario'.....";

esto es muy inseguro, debes tener en cuenta cada aspecto para que el trabajo debe estar muy bien hecho y al mismo tiempo duré mucho tiempo sin retoques, que es lo mejor!

X_fran · #3 (**permalink**) 26/09/2017, 06:36

La autenticación a través de usuario y contraseña es uno de los métodos más empleados, y en ambientes web aun más. Deberías tener en cuenta par de aspectos:

Haz tu web segura, como mínimo el formulario de "login" y proceso de autenticación accesibles por HTTPS, yo diría más: tu aplicación accesible solo por HTTPS.
Valida tanto del lado del cliente como del servidor los datos introducidos por el usuario.
Realiza un comprobación contra ataques de tipo CSRF.
Como te explica petit89, establece una política de contraseñas seguras para tu sistema.
Evita la inyección SQL.

De dónde provengan los usuarios, no interesa; en un ambiente empresarial pudiera ser que tu aplicación esté integrada a un Directorio Activo de Windows o similar, almacenados en la misma base de datos de tu aplicación o accesibles a través de un servicio web o REST API, pero siempre el procedimiento es el mismo: validación, identificación y autenticación !!!!

haggenx · #4 (**permalink**) 30/09/2017, 16:31

siempre ponle a tu paso de parámetros la funcionalidad para evitar la inyección de comandos por sql:

//thanks to https://es.wikipedia.org/wiki/Inyecci%C3%B3n_SQL
//thanks to http://php.net/manual/es/security.da...-injection.php
function getSafeSQL($SQL)
{

$SQL = str_replace("'", "''", $SQL);

$SQL = str_replace("[", "[[]", $SQL);
$SQL = str_replace("%", "[%]", $SQL);
$SQL = str_replace("exec master", "[_]", $SQL);

return $SQL;

}

Ejemplo de uso:

<?

if(isset($_POST["usuario"]))
$usuario = str_replace(chr(34), " ", getSafeSQL(trim($_POST["usuario"])));
else
$usuario = "";

if(isset($_POST["contra"]))
$contra = str_replace(chr(34), " ", getSafeSQL(trim($_POST["contra"])));
else
$contra = "";

$sql = "SELECT * FROM usuarios WHERE usuario='".trim($usuario)."' AND password='".trim($contra)."'";

?>