Ver Mensaje Individual
  #13 (permalink)  
Antiguo 16/04/2008, 09:49
Avatar de nicolaspar
nicolaspar
 
Fecha de Ingreso: noviembre-2004
Ubicación: Villa Ballester Bs-As|Ar
Mensajes: 2.002
Antigüedad: 20 años
Puntos: 34
Re: APORTE: Sistema de registro y reconocimiento de usuario ( aporte )

Cita:
Iniciado por GastoNike Ver Mensaje
Claro, pero igual tienes que fijarte que solo es una muestra para que veas como es que funciona y ya de ahi implemetarlo a tu gusto con sus respectivos parches de seguridad...

Saludos.
Cita:
Iniciado por drbit Ver Mensaje
Pato, te recomiendo que lo asegures un poco tiene muchos puntos flojos en seguridad. A grandes razgos:
Código:
<?
if(file_exists("usuarios/$usNick.php")) { //comprobamos si el usuario existe
include ("usuarios/$usNick.php");// incluimos los datos
if($usCon == $clave){ //comprobamos las contraseñas
$key2 = "si";// si todo esta bien ponemos $key2 en si
}
Que pasa si el usuario te manda como nombre de usuario algo como ../../../etc/passwd ????

Creo que deberías limpiar la entrada.

Comparar strings con == tampoco es recomendable, es mejor usar strcmp.

En el segundo sistema, tampoco haces ninguna limpieza de las variables antes de armar la query. Usa mysql_real_escape para limpiar las variables.

Saludos.

Claro, no es muy solido, pero no aplica tu ejemplo tampoco, ya que estaría realmente buscando el archivo "file_exists("usuarios/../../../etc/passwd.php". En si todo file será php de manera obligatoria, y por ende el mismo será procesado por el servidor, no dará lo que tenga en pantalla sino su resultado.

Sin haberlo mirado en detalle gracias pato12, a muchos les será útil!.
__________________
Mi punto de partida es Que Bueno Lo Nuevo