Tema: Es seguro mi codigo?
Ver Mensaje Individual
  #2 (permalink)  
Antiguo 24/07/2010, 23:24
Avatar de MaTyS
MaTyS
 
Fecha de Ingreso: enero-2009
Ubicación: Mar del Plata
Mensajes: 220
Antigüedad: 15 años, 10 meses
Puntos: 18
Respuesta: Es seguro mi codigo?
Tu código esta bien pero le puedes dar más seguridad.
Aquí un código con mayor seguridad para evitar inyecciones tipo SQL.

Código PHP: 
Ver original
  1. <body>
  2. <div id="felicidades" align="center">
  3. <?php
  4. // Evitamos la inyeccion SQL
  5. // Modificamos las variables pasadas por URL
  6. foreach( $_GET as $variable => $valor ){
  7. $_GET [ $variable ] = str_replace ( "'" , "'" , $_GET [ $variable ]);
  8. }
  9. // Modificamos las variables de formularios
  10. foreach( $_POST as $variable => $valor ){
  11. $_POST [ $variable ] = str_replace ( "'" , "'" , $_POST [ $variable ]);
  12. }
  13.  
  14. $conexion = mssql_connect("127.0.0.1", "sa", "--------fran1737");
  15. mssql_select_db("MuOnline", $conexion);
  16. $usuario=$_POST['user'];
  17. $contra=$_POST['pass'];
  18.  
  19. $consulta = "SELECT * FROM MEMB_INFO WHERE memb___id = '$usuario' AND memb__pwd ='$contra'";
  20. $resultado = mssql_query( $consulta ) or die( mysql_error() );
  21.  
  22. if(mssql_num_rows($resultado)==1)
  23. {(      mssql_query("INSERT INTO nochevip (cuentaid,email,pass,pass1,numerodeposito,numerotarjeta) VALUES                       ('{$_POST['user']}','{$_POST['email']}','{$_POST['pass']}','{$_POST['pass1']}','{$_POST['numerodeposito']}','{$_POST['numerotarjeta']}')"));        
  24. print "<script>alert('Felisidades te has inscrito en la NOCHEVIP')</script>";
  25. print("<script>window.location.replace('pagina donde redireccionar');</script>"); 
  26.  
  27.      }else{
  28.        
  29.         
  30. print "<script>alert('Usuario o contraseña incorrecta')</script>";
  31. print("<script>window.location.replace('index.php');</script>"); 
  32.  
  33.         
  34.     } 
  35.  
  36. ?>
  37. </div>
  38. </body>

Saludos.