arreglado sql injection

.gitignore

@@ -0,0 +1,9 @@
+
+mysql/multi-master.info
+mysql/ibtmp1
+mysql/ibdata1
+mysql/ib_logfile0
+mysql/ib_buffer_pool
+mysql/ddl_recovery.log
+mysql/aria_log_control
+mysql/aria_log.00000001

app/modificarDatos.php

@@ -161,6 +161,24 @@
             ?>
         </label>
         <input type="date" name = "nacimiento" placeholder="Introduzca su nacimiento *" value= <?php echo $lista["FECHANACIMIENTO"]; ?> required>
+
+        <!-- INPUT CUENTABANCO -->
+        <label for="cuentaBanco">Cuenta del Banco: 
+        <?php
+            //La clave para desencriptar las cuentas bancarias es la siguiente
+            $claveCuentaBanco = "kePaReChe2021Joel";
+
+            echo openssl_decrypt($lista["CUENTABANCO"], "AES-256-CBC", $claveCuentaBanco);
+        ?>
+        </label>
+        <input type="bien" name = "cuentaBanco" placeholder="Introduzca su cuenta bancaria *" value= 
+        <?php 
+            $claveCuentaBanco = "kePaReChe2021Joel";
+
+            echo openssl_decrypt($lista["CUENTABANCO"], "AES-256-CBC", $claveCuentaBanco);
+        ?>
+        required>
+
         <input type="submit" name="boton_registro" value="Guardar cambios">
       </form> 
 

app/registrar.php

@@ -11,20 +11,28 @@
     {
         #TODOS LOS CAMPOS DE REGISTRO SON OBLIGATORIOS menos nombre y apellidos
         #Tras las comprobaciones guardo las variables
-        $dni = $_POST["dni"];
-        $nick = $_POST["usuario"];
-        $nombre = $_POST["nombre"];
-        $apellidos = $_POST["apellidos"];
-        $telefono = $_POST["telefono"];
-        $email = $_POST["email"];
-        $contrasena = $_POST["contrasena"];
-
+        $dni = mysqli_real_escape_string($conexion, $_POST["dni"]);
+        $nick = mysqli_real_escape_string($conexion, $_POST["usuario"]);
+        $nombre = mysqli_real_escape_string($conexion, $_POST["nombre"]);
+        $apellidos = mysqli_real_escape_string($conexion, $_POST["apellidos"]);
+        $telefono = mysqli_real_escape_string($conexion, $_POST["telefono"]);
+        $email = mysqli_real_escape_string($conexion, $_POST["email"]);
+        $contrasena = mysqli_real_escape_string($conexion, $_POST["contrasena"]);
+        $cuenta = mysqli_real_escape_string($conexion, $_POST["cuentaBanco"]);
+		$cuenta = preg_replace('/\s+/', '', $cuenta);
         //cifro la contrasena
         $contrasena = password_hash($contrasena, PASSWORD_DEFAULT);
-
+        //cifro la cuenta bancaria con nuestra clave kePaReChe2021Joel
+		$claveCuentaBanco = "kePaReChe2021Joel";
+		$cuenta = @openssl_encrypt($cuenta, "AES-256-CBC", $claveCuentaBanco);
+		// para descifrar
+		// openssl_decrypt(cuentaDelBancoCifrada, "AES-256-CBC", $claveCuentaBanco);
+
+
+
         $nacimiento = $_POST["nacimiento"];
         #Consulta
-        $consulta = "INSERT INTO usuario (NICK, PASSWD, EMAIL, DNI, NOMBRE, APELLIDOS, TELEFONO, FECHANACIMIENTO) VALUES ('$nick', '$contrasena', '$email', '$dni', '$nombre', '$apellidos', '$telefono', '$nacimiento')";
+        $consulta = "INSERT INTO usuario (NICK, PASSWD, EMAIL, DNI, NOMBRE, APELLIDOS, TELEFONO, FECHANACIMIENTO, CUENTABANCO) VALUES ('$nick', '$contrasena', '$email', '$dni', '$nombre', '$apellidos', '$telefono', '$nacimiento', '$cuenta')";
         $fin = mysqli_query($conexion, $consulta);
         if($fin)
         {

app/registro.php

@@ -79,7 +79,11 @@
         <!-- INPUT COMPROBAR CONTRASENA -->
         <label for="password">Escribe otra vez la contraseña *</label>
         <input type="password" name = "contrasena2" id = "contrasena2" placeholder="Introduzca su contraseña *" maxlength="20" pattern = "^(?=.*?[A-Z])(?=.*?[a-z])(?=.*?[0-9])(?=.*?[#?!@$ %^&*-]).{8,}$" required>
-
+
+        <!-- INPUT CUENTABANCO -->
+        <label for="cuentaBanco">Cuenta Bancaria *</label>
+        <input type="bien" name = "cuentaBanco" placeholder="Introduzca su cuenta" maxlength="30">
+
         <input type="submit" name="boton_registro">
         <a href="iniSesion.php">¿Ya tienes una cuenta?</a>
       </form>

database.sql

@@ -83,7 +83,8 @@ CREATE TABLE `usuario` (
   `NOMBRE` varchar(10) DEFAULT NULL,
   `APELLIDOS` varchar(30) DEFAULT NULL,
   `TELEFONO` int(11) DEFAULT NULL,
-  `FECHANACIMIENTO` date DEFAULT NULL
+  `FECHANACIMIENTO` date DEFAULT NULL,
+  `CUENTABANCO` varchar(255) DEFAULT NULL
 ) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4;
 
 --