Me ayudan a entender este codigo generado por dreamweaver

evairdesign · #1 (**permalink**) 17/07/2012, 01:04

Hola! por favor me ayudarian a comprender el siguiente codigo generado por dreamweaver para crear el inicio de sesion de un usuario.

Yo pondre lo que entiendo, si esta mal, por favor diganmelo y si pueden agregar información y responder mis dudas, exelente

En el codigo estan mis dudas, en forma de comentario, muchas gracias

Código PHP:

Ver original<?php
// Se llama al archivo wamp_login que contiene los datos para crear conexion con la bd
 require_once('Connections/wamp_login.php');
 ?>
 
<?php
// Funcion que extrae el texto de una variable...aqui tengo mis dudas, no estoy seguro de que esa se la principal funcion
if (!function_exists("GetSQLValueString")) {
function GetSQLValueString($theValue, $theType, $theDefinedValue = "", $theNotDefinedValue = "") 
{
  if (PHP_VERSION < 6) {
    $theValue = get_magic_quotes_gpc() ? stripslashes($theValue) : $theValue;
  }
 
  $theValue = function_exists("mysql_real_escape_string") ? mysql_real_escape_string($theValue) : mysql_escape_string($theValue);
 
  switch ($theType) {
    case "text":
      $theValue = ($theValue != "") ? "'" . $theValue . "'" : "NULL";
      break;    
    case "long":
    case "int":
      $theValue = ($theValue != "") ? intval($theValue) : "NULL";
      break;
    case "double":
      $theValue = ($theValue != "") ? doubleval($theValue) : "NULL";
      break;
    case "date":
      $theValue = ($theValue != "") ? "'" . $theValue . "'" : "NULL";
      break;
    case "defined":
      $theValue = ($theValue != "") ? $theDefinedValue : $theNotDefinedValue;
      break;
  }
  return $theValue;
}
}
?>
<?php
// Se crea la sesion que identifica al usuario.
if (!isset($_SESSION)) {
  session_start();
}
 
// recibe el action del formulario y lo identifica como la misma direccion que se esta usando actualmente con ['PHP_SELF']
$loginFormAction = $_SERVER['PHP_SELF'];
 
// Aqui no entiendo que es $_GET['accesscheck'] ¿me podria alguien decir de donde sale eso?
if (isset($_GET['accesscheck'])) {
  $_SESSION['PrevUrl'] = $_GET['accesscheck'];
}
 
if (isset($_POST['inputUser'])) {
  $loginUsername=$_POST['inputUser'];
  $password=$_POST['inputPass'];
  $MM_fldUserAuthorization = "";
  $MM_redirectLoginSuccess = "usuario.php";
  $MM_redirectLoginFailed = "404";
  $MM_redirecttoReferrer = false;
  mysql_select_db($database_wamp_login, $wamp_login);
  
  $LoginRS__query=sprintf("SELECT tableUsuario, tablePassword FROM tmp_login WHERE tableUsuario=%s AND tablePassword=%s",
 
// ¿que hace la funcion GetSQLValueString especificamente en esta parte? ¿sacar el nombre de usuario del input? si es asi porque se pone como parte de la sentencia SQL
    GetSQLValueString($loginUsername, "text"), GetSQLValueString($password, "text")); 
   
  $LoginRS = mysql_query($LoginRS__query, $wamp_login) or die(mysql_error());
  $loginFoundUser = mysql_num_rows($LoginRS);
  if ($loginFoundUser) {
     $loginStrGroup = "";
    
    if (PHP_VERSION >= 5.1) {session_regenerate_id(true);} else {session_regenerate_id();}
    //declare two session variables and assign them
    $_SESSION['MM_Username'] = $loginUsername;
    $_SESSION['MM_UserGroup'] = $loginStrGroup;       
 
    if (isset($_SESSION['PrevUrl']) && false) {
      $MM_redirectLoginSuccess = $_SESSION['PrevUrl'];  
    }
 
    header("Location: " . $MM_redirectLoginSuccess );
  }
  else {
    header("Location: ". $MM_redirectLoginFailed );
  }
}
 
?>
<!doctype html>
<html>
<head>
<meta charset="utf-8">
<title>..::Viden::.. Colegios en Chile</title>
</head>
 
<body>
<form name="form1" method="POST" action="<?php echo $loginFormAction; ?>">
  <p>
    <label for="textfield">Usuario:</label>
    <input type="text" name="inputUser" id="textfield">
  </p>
  <p>
    <label for="textfield2">Password:</label>
    <input type="text" name="inputPass" id="textfield2">
  </p>
  <p>
    <input type="submit" name="button" id="button" value="Iniciar Sesión">
  </p>
</form>
</body>
</html>

maycolalvarez · #2 (**permalink**) 17/07/2012, 06:29

por lo que veo, la función GetSQLValueString trasforma y filtra el valor de la variable para pasarlo al SQL, evitando así SQL Inyection, francamente yo usaría PDO

$_GET['accesscheck'] me parece un intento de DW por mantener el HTTP_REFERER que algunos navegadores no soportan y comúnmente eliminado por proxys y firewalls

¿más dudas?: pregunte y especifique la línea

lo ideal es que aprenda desde 0, con un tutorial, francamente los generadores de código al final vuelven difícil el mantener el código, saludos

Puntos de seguridad a considerar:

-los magic quotes están obsoletos, debe evitar su uso en servidores aún así el script esté preparado
-estudie sobre seguridad en PHP: SQL Inyection, XSS, CSRF, RFI, Upload Inyection

evairdesign · #3 (**permalink**) 17/07/2012, 12:46

Cita:

por lo que veo, la función GetSQLValueString trasforma y filtra el valor de la variable para pasarlo al SQL, evitando así SQL Inyection, francamente yo usaría PDO

Eso mismo imaginaba, por que intente hacer SQL inyection básico y quitando el GetSQLValueString funcionaba.

Cita:

¿más dudas?: pregunte y especifique la línea

¿Programar con CLASES hace mas seguro el codigo? o ¿es solo para hacerlo mas ordenado?

Cita:

lo ideal es que aprenda desde 0, con un tutorial, francamente los generadores de código al final vuelven difícil el mantener el código, saludos

Sé programar en php, es solo que he aprendido a programar de manera muy desordenada :/ pero ya voy mejorando

Cita:

Puntos de seguridad a considerar:

-los magic quotes están obsoletos, debe evitar su uso en servidores aún así el script esté preparado
-estudie sobre seguridad en PHP: SQL Inyection, XSS, CSRF, RFI, Upload Inyection

No sabia eso de los "magic quotes" gracias, lo cambiaré y con respecto a seguridad, algo he leído, creo que lo básico, pero ya veré si se me presenta un problema en mi proyecto y aprenderé de ello

maycolalvarez · #4 (**permalink**) 17/07/2012, 14:17

POO (programación orientada a objetos) es sólo un paradigma, usar clases no te proporcionará seguridad y hacerlo de mala forma no evitará código desordenado, poco a poco y siguiendo las buenas practicas y patrones de diseño aprenderás a organizar mejor el código, cuando inicié mi código tampoco era una belleza

te recomiendo iniciar con PDO, así te familiarizas un poco con usar objetos en vez de puras funciones, y poco a poco aprendes POO, luego aventurate en un Framework MVC, Codeigniter es el ideal para empezar, mi favorito es Symfony2. pero eso amigo lo elije usted, existe gran variedad y lo justo es indicarselo

evairdesign · #5 (**permalink**) 17/07/2012, 14:56

Ok men! Tengo todo mas clarito

Gracias