Ver Mensaje Individual
  #11 (permalink)  
Antiguo 02/02/2013, 13:12
webankenovi
Invitado
 
Mensajes: n/a
Puntos:
Respuesta: Mejorar la seguridad de inyecciones SQL a sistema de registro

Cita:
Iniciado por GonzaFY Ver Mensaje
Y elimine los mysqli_real_escape_string, no falta nada mas cierto? Digo, ya que con decir que solo se puede utilizar caracteres alfanumericos estoy bloqueando cualquier tipo de signo raro
puedes verificar el tipo que sea un string ' is_string() ' , si la funcion cumple con su cometido efectivamente solo dejarias pasar numeros y letras , aunque puedes probar ejemplos intenta meter caracteres raros comillas ejemplos de sql injection etc...

Cita:
Iniciado por GonzaFY Ver Mensaje
Disculpa mi ignorancia pero como hago el archivo .htaccess...
Es decir hice uno .htaccess.txt (porque sino me dice que ponga nombre) y le puse deny for all y perfecto no puedo entrar a ese archivo pero si puedo ingresar a un documento de texto que esta en la misma carpeta..
ese .txt no es valido , yo tengo el problema que tu tienes en mi maquina no me deja crearlos y he probado muchas cosas y nada , me baje uno que viene en codegniter y ya con ese lo copio y listo , no me acuerdo por que era el problema de crear un .htaccess


respecto a la contraseña no uses md5 como ya te dije es bastante vulnerable , ademas usa un salt

ejemplo

esto deberia de ir en el registro

$pass = crypt($_POST['password'],'salt una clave'); y la guardamos en la bd y la misma forma para en el login para comprobar en la query
Código PHP:
Ver original
  1. $pass = crypt($_POST['password'],'salt una clave');
  2.  
  3. $query = mysqli_query($conexion,"SELECT * FROM usuarios WHERE nick='".$_POST['username']."' and pass='".$pass."'");

ambos salt el del registro y el del login deben de coincidir

--------------

respecto a las sessiones , de la manera que tu dices estan creando mas variables y por lo tanto consumes mas memoria.

la session la puedes usar en cualquier parte sin necesidad de crear otro variable

echo $_SESSION['NICK'];

Última edición por webankenovi; 02/02/2013 a las 13:17