Eu andei procurando pela internet algum lugar q ensinasse a fazer um sistema de login, com isso achei vários e aprendi bastante, aí eu percebi q eles não eram muito seguros pq não tinha proteção da senha com md5, então eu fucei no google e achei esse aqui:
http://www.sistemaba...r/php/cadastro/
Porém agora eu fiquei na dúvida se ele é vulnerável a SQLInjection, como q eu posso verificar isso? eu descobri esse tipo de vulnerabilidade em um comentário de outro fórum, mas o cara não explicou como q faz pra ver ...
agradeço desde já!
Esse Sistema De Login é Seguro Ou Não?
Started By paulo_alex_87, 27/01/2009, 11:46
4 replies to this topic
#2
jamsbboy
-
- Usuários
-
- 319 posts
Ativo
- Sexo:Masculino
Posted 27/01/2009, 13:23
uma proteção básica q eu uso, é o limite de caracteres..
ex:
Usuário: Maximo de caracteres: 10 digitos
Senha: Maximo de caracteres: 4 digitos
pq geralmente as strings PHP e SQL injection são repetidas
ex. -> 'or''=' <- com 7 caracteres
Login: 'or''=' <- 10 - Menos q 10
Senha: 'or''=' <- + que 4
Bom ... assim eu faço aq.. mas existe várias alternativas.. pois desconheço PHP e SQL injection com menos de 4 caractere.
=D
ex:
Usuário: Maximo de caracteres: 10 digitos
Senha: Maximo de caracteres: 4 digitos
pq geralmente as strings PHP e SQL injection são repetidas
ex. -> 'or''=' <- com 7 caracteres
Login: 'or''=' <- 10 - Menos q 10
Senha: 'or''=' <- + que 4
Bom ... assim eu faço aq.. mas existe várias alternativas.. pois desconheço PHP e SQL injection com menos de 4 caractere.
=D
IG- O Mundo é de quem faz! --- http://www.quemfaz.com.br
#3
Luckas
-
- Usuários
-
- 341 posts
Luckas
- Sexo:Masculino
- Localidade:Itapira SP.
-
Interesses:HTML
PHP
CSS
PhotoShop
Posted 27/01/2009, 14:44
usa esta função aqui
esta função cria uma barra(escape) para aspas e coisas que possam ser usados para SQL injection.
$login = addslashes($login);
esta função cria uma barra(escape) para aspas e coisas que possam ser usados para SQL injection.
Luckas_
********
cheeseboy_@hotmail.com
********
cheeseboy_@hotmail.com
#4
Crab
-
- Ex-Admins
-
- 2521 posts
Da paz, mas preparado para Guerra
- Sexo:Masculino
- Localidade:Florianópolis - SC
- Interesses:Desenvolvimento Gráfico e Web.
Posted 27/01/2009, 20:18
Bom este tutorial à que se refere foi eu que fiz... 
inclusive tem link para ele aqui no fórum tbm.
http://forum.wmonlin...howtopic=182245
Como o próprio site e a descrição do tutorial diz... ele é básico
Mas assim mesmo, 'basicão', acho difícil alguém conseguir hehehehe
Em todo caso é sempre bom dar uma reforçada.
Veja se conhece alguém com técnicas de injection e peça para ele testar.
Até mais
inclusive tem link para ele aqui no fórum tbm.
http://forum.wmonlin...howtopic=182245
Como o próprio site e a descrição do tutorial diz... ele é básico
Mas assim mesmo, 'basicão', acho difícil alguém conseguir hehehehe
Em todo caso é sempre bom dar uma reforçada.
Veja se conhece alguém com técnicas de injection e peça para ele testar.
Até mais
Crab - Ex-Administrador Geral fórum WMO
canaldev.com.br
sistemabasico.com.br
twitter.com/sistemabasico
twitter.com/lunelli
canaldev.com.br
sistemabasico.com.br
twitter.com/sistemabasico
twitter.com/lunelli
#5
paulo_alex_87
-
- Usuários
-
- 23 posts
Novato no fórum
- Sexo:Não informado
Posted 27/01/2009, 21:55
Vlw aew pela solução criativa jamsbboy!
Brigado tb Luckas pela solução bem prática!
E Parabéns Crab pelo excelente tutorial!! Me ajudou muito mesmo!!é q eu aprendi php sozinho aí eu ainda tinha algumas dúvidas quanto ao tratamento do mysql.
Mas é q agora surgiu outro problema, eu adicionei o código ao meu site e tá dando um problema... é q eu não estou conseguindo logar, só aparece esse aviso:
EDIT: DESCULPA AEW NÃO HÁ ERRO! eu q criei um usuario com caracter inválido.
quem quizer testar o meu site (temporário) é:
http://unbservice.comli.com/
Brigado tb Luckas pela solução bem prática!
E Parabéns Crab pelo excelente tutorial!! Me ajudou muito mesmo!!é q eu aprendi php sozinho aí eu ainda tinha algumas dúvidas quanto ao tratamento do mysql.
Mas é q agora surgiu outro problema, eu adicionei o código ao meu site e tá dando um problema... é q eu não estou conseguindo logar, só aparece esse aviso:
Você não pode logar-se! Este usuário e/ou senha não são válidos!
Por favor tente novamente!
EDIT: DESCULPA AEW NÃO HÁ ERRO! eu q criei um usuario com caracter inválido.
quem quizer testar o meu site (temporário) é:
http://unbservice.comli.com/
Edição feita por: paulo_alex_87, 27/01/2009, 22:22.
1 user(s) are reading this topic
0 membro(s), 1 visitante(s) e 0 membros anônimo(s)
