elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.
 
Inicio Ayuda Ingresar Registrarse
21 Noviembre 2008, 09:58  



+  Foro de elhacker.net
|-+  Programación
| |-+  Desarrollo Web (Moderadores: дٳŦ٭, Red Mx)
| | |-+  Lo prometido es Deuda		 0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Imprimir
Autor Tema: Lo prometido es Deuda  (Leído 155 veces)
eLank0
eLhAcKeR r00Lz

Desconectado Desconectado

Mensajes: 894



Ver Perfil WWW
Lo prometido es Deuda
« en: 27 Agosto 2004, 09:32 »
Buenas,

Hace poco cuando empece a postear sobre mi sistema de usuarios,
dije que quiza lo posteaba por aqui.
Al final he optado por subirlo ami espacio personal en MiArroba.
Aqui lo tienen:

http://elank0.webcindario.com/usuarios.rar

Espero criticas y sugerencias :D

Gracias.

Salu2!!  ::) ::)
En línea
Antes de Postear,
-Riven-Ward-
RivenSoft

Desconectado Desconectado

Mensajes: 2.219


Do you like Mario? xDDDDDDDDDDDD


Ver Perfil WWW
Re: Lo prometido es Deuda
« Respuesta #1 en: 27 Agosto 2004, 09:51 »
Aqui algunas "críticas constructivas" :

En el archivo crearusuario.php, encontré algo muy malo: archivo vulnerable a XSS:

Código:
$query=mysql_query("INSERT INTO usuarios (nick, pass, email) VALUES ('$nick','$pass','$email')",$conn) or die (mysql_error());

if(mysql_affected_rows($conn)){
echo "<center><font face=\"Verdana\" size=1>Tu registro se ha realizado correctamente";
} else {

Para hacerlo anti-XSS solo agrega esto arriba del query:

Código:
$nick = htmlentities ($nick);
$pass = htmlentities ($pass);
$email = htmlentities ($email);

Para que no pongan código JS en tus usuarios...

Ahora estoy buscando mas cosas ;)

Salu2!
En línea
Usuario Banneado
Rentero
Colaborador

Desconectado Desconectado

Mensajes: 1.157


La paciencia es la madre de la ciencia.


Ver Perfil
Re: Lo prometido es Deuda
« Respuesta #2 en: 27 Agosto 2004, 19:54 »
Bueno, ya que Riven te ha dicho algo no voy a ser menos xD.

Empezemos por las tablas:
Citar
CREATE TABLE `usuarios` (
  `id` int(11) NOT NULL auto_increment,
  `nick` text NOT NULL,
  `pass` text NOT NULL,
  `email` text NOT NULL,
  PRIMARY KEY  (`id`)
)
Si todos los campos los pones como un TEXT pues consumes muchos mas recursos que si los poner por ejemplo así:
Código:
CREATE TABLE `usuarios` (
  `id` int(11) NOT NULL auto_increment,
  `nick` VARCHAR (`20`)  NOT NULL,
  `pass` VARCHAR (`40`)  NOT NULL,
  `email` text NOT NULL,
  PRIMARY KEY  (`id`)
)

Otra cosa que es primordial es que conpruebes con PHP si los campos están completados y cumplen un mínimo de caracteres...por ejemplo:
Código:
<?php
[...]
if(strlen($_POST['nick']) < 3){
blablabla...
}
[..]

Te lo digo que lo hagas con php porque te aseguras el que todos los navegadores lo admitan...porque si lo haces con javascript puede que no sirva de nada...

Bueno, así a simple vista es lo que he visto...xD
En línea
Firmado.
eLank0
eLhAcKeR r00Lz

Desconectado Desconectado

Mensajes: 894



Ver Perfil WWW
Re: Lo prometido es Deuda
« Respuesta #3 en: 27 Agosto 2004, 20:58 »
Buenas

Gracias -Riven-Ward- y Neohex por vuestros comentarios, me han servido de gran ayuda :D.

La verdad es que no sabia que poner los campos de la tabla en tipo TEXT consumian muchos recursos... Gracias de Nuevo :D

Salu2!!
En línea
Antes de Postear,
Rentero
Colaborador

Desconectado Desconectado

Mensajes: 1.157


La paciencia es la madre de la ciencia.


Ver Perfil
Re: Lo prometido es Deuda
« Respuesta #4 en: 28 Agosto 2004, 06:19 »
Tambien me he dado cuenta de una cosa...yo en mi localhost puedo entrar sin logearme a sesion.php....como lo he solucionado es así:
Código:
<?
session_start();
include "conectar.php";
if(!isset($_SESSION[nick])){
echo "No se puedo iniciar sesion";
} else {
echo "<html><body>";
echo "Bienvenido ";
echo $_SESSION[nick];
echo "<br><center><font face=\"Verdana\" size=1>Si quieres desloguearte, pulsa: <a href=\"desconectar.php\">logout</a>";
echo "</body></html>";
}
?>
En línea
Firmado.
eLank0
eLhAcKeR r00Lz

Desconectado Desconectado

Mensajes: 894



Ver Perfil WWW
Re: Lo prometido es Deuda
« Respuesta #5 en: 28 Agosto 2004, 07:21 »
Buenas,

Estoy muy agradecido por este ultimo apunte, porque aun lo tenia por resolver, muchas gracias :D

Salu2!!
En línea
Antes de Postear,
Páginas: [1] Ir Arriba Imprimir 
Ir a:  







Consolas     La Web de Goku     MilW0rm     MundoDivx

Hispabyte     Truzone     TodoReviews     ZonaPhotoshop

Foros de ayuda    Yashira.org    Videojuegos    indetectables.net   

Noticias Informatica    Seguridad Informática    ADSL    eNYe Sec

Todas las webs afiliadas están libres de publicidad engañosa.

Powered by SMF 1.1.7 | SMF © 2006-2008, Simple Machines LLC