Cita:
Iniciado por webankenovi en este hilo en el ultimos post he puesto funciones para encriptar la pass no uses md5 y tal ... [url]http://www.forosdelweb.com/f18/seguridad-web-1004102/[/url]
ni tu ni nadie que entre en tu sistema
- y que la password tenga minimo 10 caracteres mayusculas minusculas y numeros
De todas formas sere yo quien le asigne contraseñas a los usuarios pero esta bien porque si un ajeno entra a la base de datos me las puede robar.
Y hace un rato habia leido tu post pero tampoco soy experto en este tema y me confundo un poco con tantas cosas..
Bueno aparte de que me falta encriptar la contraseña a md5 logre esto:
Código PHP:
Ver original<?php
require_once('config.php');
if(isset($_POST['ingresar'])) {
{
$query = mysqli_query($conexion,"SELECT * FROM usuarios WHERE nick='".$username."' and pass='".($password)."'");
{
$_SESSION['nivel'] = $datos['nivel'];
$_SESSION['usuario'] = $datos['nick'];
echo '<script language="JavaScript">window.location.href = "index.php";</script>';
}
else
{
echo 'Usuario y contraseña incorrectos';
echo '<script language="JavaScript">window.location.href = "index.html";</script>';
}
}
else
{
echo 'Ingresa un usuario y contraseña validos';
}
}
?>
Supongo que con eso el atacante ya no podra ingresar nada fuera de lugar a los campos.
Y mi duda de lo que lei en tu post de que sirve proteger las carpetas .htacces?
Gracias a todos, son muy amables =).
Edito:
Encontre este codigo en una pagina pero no se si ya es muy exagerado o si es que esta de mas..
Código PHP:
Ver original<?php
/**
* SEGURIDAD PARA SQL INJECTION
*/
global $errorSQLinjection;
$GLOBALS['errorSQLinjection'] = "../index.php";
function _clean($var)
{
//print_r($var);
$pattern = array("/0x27/","/%0a/","/%0A/","/%0d/","/%0D/","/0x3a/","/ select /i","/insert/i", "/from/i","/concat/i","/delete/i","/truncate/i","/alter /i",
"/information_schema/i","/unhex/i","/load_file/i","/outfile/i","/0xbf27/");
foreach($pattern as $patt)
{
header('Location: '.$GLOBALS['errorSQLinjection']); }
return $value;
}
{
foreach($_GET as $k => $v)
{
$_GET[$k] = _clean($v);
}
}
{
foreach($_POST as $k => $v)
{
$_POST[$k] = _clean($v);
}
}
/**
*
*/
?>