Cita:
Iniciado por drbit Pato, te recomiendo que lo asegures un poco tiene muchos puntos flojos en seguridad. A grandes razgos:
Código:
<?
if(file_exists("usuarios/$usNick.php")) { //comprobamos si el usuario existe
include ("usuarios/$usNick.php");// incluimos los datos
if($usCon == $clave){ //comprobamos las contraseñas
$key2 = "si";// si todo esta bien ponemos $key2 en si
}
Que pasa si el usuario te manda como nombre de usuario algo como ../../../etc/passwd ????
Creo que deberías limpiar la entrada.
Comparar strings con == tampoco es recomendable, es mejor usar strcmp.
En el segundo sistema, tampoco haces ninguna limpieza de las variables antes de armar la query. Usa mysql_real_escape para limpiar las variables.
Saludos.
Claro, pero igual tienes que fijarte que solo es una muestra para que veas como es que funciona y ya de ahi implemetarlo a tu gusto con sus respectivos parches de seguridad...
Saludos.