Ver Mensaje Individual
  #1 (permalink)  
Antiguo 18/10/2009, 14:27
Avatar de bioxido
bioxido
 
Fecha de Ingreso: diciembre-2008
Ubicación: $_SERVER['PHP_SELF']
Mensajes: 601
Antigüedad: 16 años, 3 meses
Puntos: 21
Seguridad en sistema de usuarios.

Buenos dias...En mi web eh creado un sistema de usuarios que quisiera saber si puede que tenga algun agujero en la seguridad que me exponga a sql injection o lo que sea....

Primero obtengo los datos(user, pass) y los paso por htmlentities, despues la pass por md5, claro...

Y para comparar los datos, envezde hacerlo directamente en mysql lo hago asi:

Código PHP:
mysql_query("SELECT * FROM `usuarios` WHERE username='$user'"$conn); 
Osea, primero obtengo los datos de ese usuario y despues los comparo:

Código PHP:
if($pass == $pass_db){true}else{false}//Claro que este codigo solo es "descriptivo" el origianl no es exactamente asi. 
Si esta todo bien, se crea la session.

Eso, para mis ojos esta bien y no tiene ninguna falla de seguridad, pero no soy muy experimentado ni tengo mucha idea de los diferentes tipos de sql injection que se pueden hacer, por eso recurro a uds.

Es una web algo grandesita asique preferiria no tener ningun cartelito de "Owned" por ahi...

Desde ya, gracias. Y si tienen alguna otra recomendacion que crean deba saber o link o lo que sea repecto a seguridad, bienvenido sea.