Evitar Inyección SQL

cactusFantastico · #1 (**permalink**) 31/10/2011, 17:54

Hola.

Estoy implementando un sistema de registro y login de usuarios y estoy un poco obsesionado con la inyección SQL que pudiera llegan a intentar algún piratilla malintencionado.

El campo login consta de 2 textbox: usuario (email) y contraseña.

Para validar el campo de usuario (email) uso:

Código PHP:

Ver originalpublic function mailControl($email){            
            $mail_correcto = 0; 
            //compruebo unas cosas primeras 
            if ((strlen($email) >= 6) && (substr_count($email,"@") == 1) && (substr($email,0,1) != "@") && (substr($email,strlen($email)-1,1) != "@")){ 
                if ((!strstr($email,"'")) && (!strstr($email,"\"")) && (!strstr($email,"\\")) && (!strstr($email,"\$")) && (!strstr($email," "))) { 
                //miro si tiene caracter . 
                    if (substr_count($email,".")>= 1){ 
                        //obtengo la terminacion del dominio 
                        $term_dom = substr(strrchr ($email, '.'),1); 
                        //compruebo que la terminación del dominio sea correcta 
                        if (strlen($term_dom)>1 && strlen($term_dom)<5 && (!strstr($term_dom,"@")) ){ 
                            //compruebo que lo de antes del dominio sea correcto 
                            $antes_dom = substr($email,0,strlen($email) - strlen($term_dom) - 1); 
                            $caracter_ult = substr($antes_dom,strlen($antes_dom)-1,1); 
                            if ($caracter_ult != "@" && $caracter_ult != "."){ 
                                $mail_correcto = 1; 
                            } 
                        } 
                    } 
                } 
            } 
            if ($mail_correcto) return true; 
            else                return false;           
        }

Para validar la integridad del campo contraseña, solo permito valores alfanumericos. No quiero que puedan poner ni comas, ni puntos, ni apostrofes ni mierdas extrañas, solo numeros y letras. para ellos uso:

Código PHP:

Ver originalpublic function varcharControl($valor){
    return ctype_alnum($valor);
}

Una vez compruebo q el usuario y contraseña cumplen la integridad exigida paso los 2 campos codificados por md5.

Uso una buena seguridad? Es mejorable? Hay algún agujero que se me escapa?

pateketrueke · #2 (**permalink**) 31/10/2011, 17:58

Creo que la seguridad que implementas está bien, preferible validar que escapar.

skiper0125 · #3 (**permalink**) 31/10/2011, 18:06

Hola que tal.

En el foro se ha discutido mucho este tema, lo que te recomiendo es que búsques andes de preguntar checa esto http://www.forosdelweb.com/search.ph...nyeccion%20sql

Saludos