Ver Mensaje Individual
  #11 (permalink)  
Antiguo 06/04/2008, 13:52
GastoNike
 
Fecha de Ingreso: marzo-2008
Mensajes: 166
Antigüedad: 16 años, 7 meses
Puntos: 5
Re: APORTE: Sistema de registro y reconocimiento de usuario ( aporte )

Cita:
Iniciado por drbit Ver Mensaje
Pato, te recomiendo que lo asegures un poco tiene muchos puntos flojos en seguridad. A grandes razgos:
Código:
<?
if(file_exists("usuarios/$usNick.php")) { //comprobamos si el usuario existe
include ("usuarios/$usNick.php");// incluimos los datos
if($usCon == $clave){ //comprobamos las contraseñas
$key2 = "si";// si todo esta bien ponemos $key2 en si
}
Que pasa si el usuario te manda como nombre de usuario algo como ../../../etc/passwd ????

Creo que deberías limpiar la entrada.

Comparar strings con == tampoco es recomendable, es mejor usar strcmp.

En el segundo sistema, tampoco haces ninguna limpieza de las variables antes de armar la query. Usa mysql_real_escape para limpiar las variables.

Saludos.
Claro, pero igual tienes que fijarte que solo es una muestra para que veas como es que funciona y ya de ahi implemetarlo a tu gusto con sus respectivos parches de seguridad...

Saludos.