busco Un codigo muy sencillo

Iniciado por bels_mike, 9 Octubre 2007, 17:28 PM

0 Miembros y 1 Visitante están viendo este tema.

Alex_bro

Programacion Segura con PHP
Te recomendaria ese script si vas a aceptar muchos caracteres "extranos" en las pass, como podrian ser & ^ $ @ etc...
Si vas a ser un poco mas estricto podria usarse algo como lo siguiente, que podria ser mas eficaz, aunque es algo escrito por mi, podria estar gafado xD, para aceptar solo numeros, letras y guiones, y que ademas sea de 6 a 12 caracteres seria esto:
function limpiar_pass($pass) {
if(preg_match("/^[a-z0-9-_]{6,12}$/i",$pass)) {
return $pass;
}else{ die ("El mensaje de error que tu quieras"); }
}

y luego cuando vayas a recoger la pass por GET haces esto:
$pass=limpiar_pass($_GET['pass']);
asi estarias a salvo...
aunque como ya digo para la mayoria de los casos sirve perfectamente el script del post que te he puesto al principio, y ademas con el metodo de Azielito se limpian automaticamente todas las variables, sin que no tengas que hacer mas que colocarlo al principio de tu script.

Saludos.

bels_mike

#11
el problemilla de meter los datos a la base de datos ya está solucionado, ahora voy a intentar evitar las inyecciones a través de tu funcion xD a ver si se colocarlo bien jejejje

EDITO:
Bueno, lo he aplicado en el archivo de preocesar.php, y mas o menos me va bien, ahora tengo una preuntilla, como puedo agregar yo mas carácteres y como puedo porejemplo aceptar uno porque esa funcion no tengo claro como funciona

A mi el archivo procesar.php se me ha quedado asi:
Código (php) [Seleccionar]
<?php 
   
include("conect.php"); 
   
$link=Conectarse(); 
   
$correo=$_GET['correo']; 
      function 
limpiar_pass($pass) {
if(preg_match("/^[a-z0-9-_]{6,12}$/i",$pass)) {
return $pass;
}else{ die ("El mensaje de error que tu quieras"); }
}
   
$pass=limpiar_pass($_GET['pass']);
   
mysql_query("insert into prueba (correo,pass) values ('$correo','$pass')",$link); 
    
   
header("Location: ejemplo3.php"); 
?>

Alex_bro

Pues simplemente anades los caracteres que sean entre los [ ], y para la longitud los de { }. Por ejemplo, una pass que pueda tener letras, numeros, guiones y la arroba:
Código (php) [Seleccionar]
function limpiar_pass($pass) {
if(preg_match("/^[a-z0-9-_@]{6,12}$/i",$pass)) {
return $pass;
}else{ die ("El mensaje de error que tu quieras"); }
}

Despues la $/i es para que pasen tanto minusculas como mayusculas...

Puedes encontrar mas info en esta pagina de php.net sobre preg_match en el apartado en el que hablan de las expresiones regulares.

Y por cierto puedes cambiar "El mensaje de error que tu quieras" por otro cualquiera, como por ejemplo "Pass no valida" o algo asi...

Y un ultimo consejo, tienes que limpiar toda la informacion que vayas a pasar a una base de datos... de nada vale limpiar solo la pass, por que por ejemplo ahora tu web seria vulnerable pasando un codigo en el campo de correo. Te dejo un ejemplo de como utilizar la funcion para un correo:
Código (php) [Seleccionar]
function  limpiar_correo($correo) {
if (preg_match("/^[0-9a-zA-Z\.\-\_]+\@[0-9a-zA-Z\.\-]+$/", $correo)){
return $correo;
}else{ die ("Correo no valido"); }
}


Saludos.

bels_mike

#13
vale, muchas gracias, lo de ponerlo en l ode correo l otenia pensdo la verdad.... y mas o menos sabia como (por lo de la @) de todos modos cuando lo pruebe te digo que tal me va ahroa me tengo que ir jejjeje

EDITO:
Bueno pues algo hago mal:
Código (php) [Seleccionar]
<?php 
   
include("conect.php"); 
   
$link=Conectarse(); <br>
function  limpiar_correo($correo) {
if (preg_match("/^[0-9a-zA-Z\.\-\_]+\@[0-9a-zA-Z\.\-]+$/"$correo)){
return $correo; }
else{ die ("Correo no valido"); }
      function 
limpiar_pass($pass) {
if(preg_match("/^[a-z0-9-_]{3,25}$/i",$pass)) {
return $pass;
}else{ die ("Error de caractéres en la contraseña"); }
}<br>
   
$correo=limpiar_correo($_GET['correo']); 
   
$pass=limpiar_pass($_GET['pass']);
   
mysql_query("insert into prueba (correo,pass) values ('$correo','$pass')",$link); 
    
   
header("Location: ejemplo3.php"); 
?>

Alex_bro

Claro, aunque para el correo mas que anadirle la @ a la primera funcion que te puse, yo usaria la segunda funcion de mi post anterior, por que asi verifica tambien que el correo esta bien compuesto, de lo contrario el arroba podria estar escrito en cualquier parte...

Tambien decirte que lo de die("Mensaje"); es para el ejemplo, pero en la practica no es nada practico mandarle un mensaje de error al usuario y ya esta, sino que en ese ELSE podrias declarar una variable "o algo" para retornar al usuario al formulario explicando el error.

Espero tus resultados y comentarios, pues estoy por sacar una funcion mas completita donde se pueda definir de forma mas facil que caracteres se desea aceptar etc... haber si asi acabamos con los fallos mas comunes de algunas webs (ya se sabe que para hacerla segura al 100% no siempre funciona un script "generico").

Saludos.

bels_mike

#15
te he escrito el resultado en el ultimo post pero te lo pongo aui tambien:
Código (php) [Seleccionar]
<?php 
   
include("conect.php"); 
   
$link=Conectarse(); <br>
function  limpiar_correo($correo) {
if (preg_match("/^[0-9a-zA-Z\.\-\_]+\@[0-9a-zA-Z\.\-]+$/"$correo)){
return $correo; }
else{ die ("Correo no valido"); }
      function 
limpiar_pass($pass) {
if(preg_match("/^[a-z0-9-_]{3,25}$/i",$pass)) {
return $pass;
}else{ die ("Error de caractéres en la contraseña"); }
}<br>
   
$correo=limpiar_correo($_GET['correo']); 
   
$pass=limpiar_pass($_GET['pass']);
   
mysql_query("insert into prueba (correo,pass) values ('$correo','$pass')",$link); 
    
   
header("Location: ejemplo3.php"); 
?>


el caso es que me dice que no encuentra la pagina cuendo doy a enviar

Alex_bro

Seguro que existe ejemplo3.php? tal vez te dice que no lo encuentra por que el Location te lleva a una pagina que no existe.

Saludos.

bels_mike

si que existe tio:
Código (php) [Seleccionar]
<html>
<head>
   <title>Ejemplo de PHP</title>
</head>
<body>
<H1>Ejemplo de uso de bases de datos con PHP y MySQL</H1>
<FORM ACTION="procesar.php">
<TABLE>
<TR>
   <TD>Correo electrónico:</TD>
   <TD><INPUT TYPE="text" NAME="correo" SIZE="20" MAXLENGTH="30"></TD>
</TR>
<TR>
   <TD>cotraseña:</TD>
   <TD><INPUT NAME="pass" TYPE="password" SIZE="20" MAXLENGTH="30"></TD>
</TR>
</TABLE>
<INPUT TYPE="submit" NAME="accion" VALUE="Grabar">
</FORM>
<hr>

<?php 
   
include("conect.php"); 
   
$link=Conectarse(); 
   
$result=mysql_query("select * from prueba",$link); 
?>

   
<TABLE BORDER=1 CELLSPACING=1 CELLPADDING=1>
      <TR>
        <TD>&nbsp;<B>Correos electr&oacute;nicos </B></TD>
        <TD>&nbsp;<B>pass</B>&nbsp;</TD></TR>


<?php       
   
while($row mysql_fetch_array($result)) { 
      
printf("<tr><td>&nbsp;%s</td> <td>&nbsp;%s&nbsp;</td></tr>"$row["correo"], $row["pass"]); 
   } 
   
mysql_free_result($result); 
   
mysql_close($link);    
?>


</table>
</body>
</html> 

Alex_bro

Si existen procesar.php, ejemplo3php y conect.php no deberia pasar...
Prueba a poner la direccion completa de ejemplo3.php en el header.

El error es que no existe la pagina (error 404) o es un error de php? haber si me estoy liando... jeje.

Saludos.