Ver Mensaje Individual
  #4 (permalink)  
Antiguo 14/07/2011, 05:36
Avatar de vgonga1986
vgonga1986
 
Fecha de Ingreso: marzo-2008
Ubicación: País de Pandereta
Mensajes: 1.021
Antigüedad: 16 años, 9 meses
Puntos: 253
Respuesta: Sobre Logins seguros

$pwd = $_POST["pwd"];
AND pwd = '$pwd'" !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Lo pimero que te recomiendo es que metas algún cifrado para las paswords en la base de datos, eso de meter a pelo las contraseñas es un pelín inseguro. Mírate alguna función hash, md5... Hay muchas.

En cuanto a las sessions, otra buena idea es no poner nombres de campos triviales. Yo lo que suelo hacer es montar una pequeña función que devuelva una cadena aleatoria de números y letras, que asigno a cada usuario. A la hora de crear campos de sesión hago:
$_SESSION[getCadena() . '_id'] = $id;

De esta forma, getCadena() va a devolver siempre para el mismo usuario la misma cadena (sino, no podrías acceder al campo después), pero el nombre no queda trivial, sino que sería algo del tipo A67QWBQF97ASBDFQ9WEBFAS351_id, con lo que añades seguridad ante ataques por SESSION.

Un saludo.