Ver Mensaje Individual
  #2 (permalink)  
Antiguo 05/11/2012, 14:49
Avatar de punk-devil
punk-devil
 
Fecha de Ingreso: febrero-2008
Ubicación: Tuxtla Gutiérrez, Chiapas, Mexico
Mensajes: 19
Antigüedad: 16 años, 10 meses
Puntos: 3
Respuesta: tengo algun problema con el sistema de logueo :/

Algunas recomendaciones de seguridad con tu código (y tal vez el problema):

1.- A la variable $usuario y $pwd primero les asignas stripslashes($_POST["variable"]) y luego vuelves a asignarles mysql_real_escape_string($_POST['variable']) por lo cual estás sobreescribiendo lo que ya hizo stripslashes, ademas de que con mysql_real_escape_string ya no es necesario que hagas el stripslashes.

2.- Por lo que se ve, estás obteniendo la contraseña sin encriptar, y por lo visto tambien la estás guardando en la base de datos del mismo modo (potencial fallo de seguridad), por lo que recomendaria usar md5 (u algun método de encriptación mas seguro) y también compararla igual.

3.- Otro fallo importante de seguridad es el guardar el ID, nombre de usuario y contraseña en las variables de sesión, ya que de ese modo algun atacante podría revelar esos datos. Lo recomendable sería usar un TOKEN y una cookie para definir si el usuario se encuentra logueado.