Seguridad en mi clase de login

slrk · #1 (**permalink**) 27/06/2010, 02:43

Hola foreros, llevo ya un año estudiando php por mi cuenta y ahora que me disponia a hacer una web usando clases por primera vez y quiero mostrar una que he creado para iniciar sesion y quiero saber si es segura, etc... a ver si me pueden ayudar.

login.class.php

Código PHP:

  <?php

session_name('romasession');

session_start();

class Acceso{

    function iniciar ($username,$password) {

        $db=new MySQL();

        $db->open();

        $this->us= addslashes(stripslashes($username));

        $this->pw = md5(addslashes(stripslashes($password)));

        $checkquery=$db->consulta("SELECT * FROM usuarios WHERE nick='".$this->us."' AND pass='".$this->pw."'");

        if($db->num_rows($checkquery)) $_SESSION['romasession']=$this->us.":".$this->pw;

        else  session_destroy();

    }

    function cerrar(){

        session_destroy();

    }

 

}

?>

login.php

Código PHP:

  if($_POST['iniciarsesion']) {

    $login=new Acceso;

    $login->iniciar($_POST['usuario'],$_POST['password']);

}

abimaelrc · #2 (**permalink**) 27/06/2010, 09:10

Te recomiendo que trabajes con PDO. Piensa de esta forma, ¿qué cosas haría usando la forma de procedimiento? Lo único que ahora lo debes ajustar en la clase y pensando como la crearías.

GatorV · #3 (**permalink**) 27/06/2010, 09:50

Por otro lado, para que usas addslashes() y stripslashes() juntos, no tiene caso...

También recuerda separar la funcionalidad de la lógica, supongamos que quieres usar tu clase con otra cosa que no sean sesiónes, es más sencillo de mantener si esta aparte.

Saludos.

slrk · #4 (**permalink**) 27/06/2010, 14:42

Cita:

Iniciado por GatorV

Por otro lado, para que usas addslashes() y stripslashes() juntos, no tiene caso...

También recuerda separar la funcionalidad de la lógica, supongamos que quieres usar tu clase con otra cosa que no sean sesiónes, es más sencillo de mantener si esta aparte.

Saludos.

Lo de las dos juntas la verdad es que me da verguenza haberlo puesto xD y lo de las sesiones a parte tienes razón, gracias por el comentario.

hschimpf · #5 (**permalink**) 28/06/2010, 11:47

Una observacion:

Código PHP:

Ver original$checkquery=$db->consulta("SELECT * FROM usuarios WHERE nick='".$this->us."' AND pass='".$this->pw."'");

Te recomiendo que la verificacion de la contrasena la realices en un segundo paso, para evitar la Inyección SQL (http://es.wikipedia.org/wiki/Inyecci%C3%B3n_SQL)
Saludos