Errores seguridad PHP y Mysql

artaniz · #1 (**permalink**) 11/06/2004, 22:59

hola que tal,

me gustaria saber cuales son los errores de seguridad que mas se presentan en php y mysql?

xcorpion · #2 (**permalink**) 12/06/2004, 01:40

el clásico login en php sin validar datos del formulario:
<?
$u = $_POST["usuario"];
$p = $_POST["password"];

$sql = "SELECT * FROM usuarios WHERE usuario = $u AND password = $p";
$sel = mysql_query($sql);
if(mysql_num_rows($sel)){
//creacion del login
}else{
die("usuario o password invalidos");
}

?>

hay que validar todos los datos que intervengan en alguna sentencia sql antes de ejecutarla. el ejemplo anterior podria arreglarse asi

<?
$u = adslashes($_POST["usuario"]);
$p = adslashes($_POST["password"]);

$sql = "SELECT * FROM usuarios WHERE usuario = $u AND password = $p";
$sel = mysql_query($sql);
if(mysql_num_rows($sel)){
//creacion del login
}else{
die("usuario o password invalidos");
}
?>

artaniz · #3 (**permalink**) 14/06/2004, 07:00

El anterior es uno de los mas comunes cuales son los otros que se presentan generalmente?

Cluster · #4 (**permalink**) 14/06/2004, 07:11

Podría ver este sitio (y el link de "documentacion" que apunta a un PDF más completo)

http://www.sklar.com/page/article/owasp-top-ten

Un saludo,

xcorpion · #5 (**permalink**) 14/06/2004, 11:20

bueno, creo que sin saberlo precente el error numero 1 de la lista.