PHP OO Seguridad en edicion de cuenta

ILuzbel · #1 (**permalink**) 30/10/2011, 07:25

Hola a todos tengo un problema con la seguridad de la edicion de cuenta de los usuarios de mi script, porque el usuario puede cambiar el nombre a uno ya existente en pocas palabras me falta un codigo que verifiche si el usuario existe antes de cambiar el nombre. el codigo es el siguiente:

Código PHP:

Ver original<?php
 
// verificamos que no este conectado el usuario
if ( !empty( $_SESSION['usuario'] ) && !empty($_SESSION['password']) ) {
    $arrUsuario = esUsuario( $_SESSION['usuario'], $_SESSION['password'], $dbConn );
} 
 
// verificamos que sea un admin
if ( empty($arrUsuario) ) {
    header( 'Location: ./index.php' );
    die;
}
 
// si se envio el formulario
if ( !empty($_POST['submit']) ) {
    
    // definimos las variables
                    if ( !empty($_POST['usuario']) ) $usuario = $_POST['usuario'];
                    if ( !empty($_POST['avatar']) ) $avatar = $_POST['avatar'];
                    if ( !empty($_POST['fondo']) ) $fondo = $_POST['fondo'];
    
    // si no hay errores registramos al usuario
    if ( empty($error) ) {
        
    if ( empty($usuario) )  $error['usuario']       = 'Es obligatorio completar el nombre de tu usuario';
    
    $idusuario = $arrUsuario['usuario'];
        
// traemos la configuracion
$query = 'SELECT usuario,avatar,fondo FROM `usuarios` WHERE idusuario = "' . $arrUsuario['idUsuario'] . '" LIMIT 1';
$resultado = mysql_query ($query, $dbConn);
 
if(isset($arrUsuario['idUsuario'])){ 
 
// actualiza los datos del formulario en la db
$query = "UPDATE usuarios SET usuario='".$_POST["usuario"]."', avatar='".$_POST["avatar"]."', fondo='".$_POST["fondo"]."' WHERE idusuario = '" . $arrUsuario['idUsuario'] . "' LIMIT 1 ";
$result = mysql_query($query, $dbConn);
        
    header( 'Location: cuenta.php?edit=true' );
    die;
}
        
    }
}
 
// traemos listado
$query = 'SELECT usuario,avatar,fondo FROM `usuarios` WHERE idusuario = "' . $arrUsuario['idUsuario'] . '" LIMIT 1';
$resultado = mysql_query ($query, $dbConn);
$editcuenta = mysql_fetch_assoc ($resultado);
 
?>

Antes encontre este codigo:

Código PHP:

Ver original// chequear si el usuario esta en la bd
    $sql_chk = "SELECT usuario FROM usuarios WHERE usuario='$usuario'";
    $resultado = mysql_query ($sql_chk, $dbConn) or die(mysql_error());;
    $tot_chk = mysql_num_rows($resultado);
    if($tot_chk > 0){
    echo "Nombre de usuario no disponible";
    exit();
    }

que funciona bien solo que si no hago ningún cambio me dice que mi usuario existe y que no puedo cambiar los datos.

Alguien me puedo ayudar?

Artificium · #2 (**permalink**) 30/10/2011, 07:41

Mira, en primer lugar no se supone que se pueda cambiar el nombre de usuario de una cuenta, acaso tú puedes cambiarlo en este foro? En segundo lugar, si de todas maneras quieres hacerlo verifícalo de este modo:

$sql_chk = "SELECT usuario FROM usuarios WHERE usuario='$usuario' AND id != $id";

Donde $id es el $id del usuario que se está editando. Eso sería todo. Espero que te sirva.

ILuzbel · #3 (**permalink**) 30/10/2011, 08:10

Cita:

Iniciado por Artificium

Mira, en primer lugar no se supone que se pueda cambiar el nombre de usuario de una cuenta, acaso tú puedes cambiarlo en este foro? En segundo lugar, si de todas maneras quieres hacerlo verifícalo de este modo:

$sql_chk = "SELECT usuario FROM usuarios WHERE usuario='$usuario' AND id != $id";

Donde $id es el $id del usuario que se está editando. Eso sería todo. Espero que te sirva.

Muchas gracias ahora funciona, cambie el codigo de chequeo y me quedo asi:

Código PHP:

Ver original// chequear si el usuario esta en la bd
    $sql_chk = "SELECT usuario FROM usuarios WHERE usuario='$usuario' AND idusuario != '".$arrUsuario['idUsuario']."' ";
    $resultado = mysql_query ($sql_chk, $dbConn) or die(mysql_error());;
    $tot_chk = mysql_num_rows($resultado);
    if($tot_chk > 0){
    echo "Nombre de usuario no disponible";
    exit();
    }