Tema: se puede hacer esto con las sesiones??
Ver Mensaje Individual
  #5 (permalink)  
Antiguo 07/07/2007, 09:07
WillCast
 
Fecha de Ingreso: junio-2007
Mensajes: 13
Antigüedad: 17 años, 8 meses
Puntos: 0
Re: se puede hacer esto con las sesiones??
Hola,

La verdad es que nunca me ha gustado comparar claves contra claves de forma cruda.

No soy ducho en el área de seguridad pero me atrevería a hacerte algunas recomendaciones:
  • No guardes las claves sin encriptar. Guarda el MD5 o el SHA1 (tabla.clave = md5($clave_limpia);) en lugar de la clave... es mucho mas seguro. Y al verificar, comparas sus MD5: if (tabla.clave = md5($CampoClave) {)
  • Aún mejor es si desde el formulario envías de una vez el MD5 calculándolo con JavaScript... así la clave real nunca viajará ni podrá ser interceptada (en el peor de los casos, interceptarán el MD5 o el SHA1, algoritmos tan difíciles de echar para atrás que se consideran irreversibles). Lo malo de esto es que el cliente web debe tener habilitado JavaScript.
  • Por último, bueno, lo típico: Antes de usar directamente lo que recibas por el $_POST, pásale una comprobación contra inyección de código.
Espero te sirva.