ayuda con problema de seguridad :S

sandrox23 · #1 (**permalink**) 26/11/2007, 21:06

Hola amigos, tengo este script en php con los campos:

$login
$name
$olpwd

Código PHP:

  $login = stripslashes($_POST['login']);

$oldpwd = stripslashes($_POST['oldpwd']);

$name = stripslashes($_POST['name']);

 
if ((eregi("[^a-zA-Z0-9\@=[]_-]", $name)) || (eregi("[^a-zA-Z0-9\=_-]", $login)) ||(eregi("[^a-zA-Z0-9]", $oldpwd))) 

    {

    echo("<center><p><b>SQL Injection Detectado:</b> Solo usa <font color='#FF0000'>numeros</font> y <font color='#FF0000'>Letras!</font> en tu Jugador, te advertimos en el Registro!<p>Solo usa el @ - _ y el =.</body>");

        exit();

    }

.

.

.

if (empty($name) || empty($login) || empty($oldpwd))

    echo "<p><center><b>Error:</b> Dejaste espacio en blanco. Regresa y rellena esos espacios.</center></body>"; exit();}

El problemon es que si yo inserto un simbolo sin comillas "!" en cualquier campo me salta el "Error Sql injection detecta ..." menos en el campo de $name .. si por ejemplo inserto cualkier simbolo en el campo $name me lo deja pasar y no me proteje ..

plz ayudenme

sandrox23 · #2 (**permalink**) 26/11/2007, 21:13

Revisando di con el error aqui:

(eregi("[^a-zA-Z0-9\@=[]_-]", $name)

Si kito los corchetes [] me trabaja normal, y cuando etsan puestos no trabaja ..

la duda es como hago para q me acepten los corchetes sin malograr la seguridad ?

sandrox23 · #3 (**permalink**) 27/11/2007, 14:49

Amigos sorry no deseo hacer spam, pero nadie puede ayudarme???

Necesito arreglar esto urgente!

Gracias

Lanselot · #4 (**permalink**) 27/11/2007, 14:57

eregi("[^]a-zA-Z0-9\@=_[-]", $name)

ponlo así

sandrox23 · #5 (**permalink**) 27/11/2007, 21:49

Gracias Lancelot me funciona. .. me salvaste xD