Autor
Código:
<?php
@set_magic_quotes_runtime(0);
function logear($usuario, $password) //las variables $usuario y $password estan limpiadas con limpieza1 en o tro archivo
{
include('./conexion.php');
$pass = mysql_query("SELECT pass FROM N_usuarios WHERE usuario='$usuario'",$co);
if(mysql_num_rows($pass)){
$pass = mysql_fetch_array($pass);
$pass[0] = htmlspecialchars($pass[0]);
$pass = $pass[0];
$password = md5(md5("<".$password.">"));
if($password === $pass){
$validado = mysql_query("SELECT validado FROM N_usuarios WHERE usuario='$usuario'",$co);
if(mysql_num_rows($validado)){
$validado = mysql_fetch_array($validado);
$validado[0] = htmlspecialchars($validado[0]);
$validado = $validado[0];
}
if($validado == 1){
$fecha = date('Y-m-d H:i:s');
$ultimologeo = mysql_query("Update N_usuarios Set ultimologeo='$fecha' Where usuario='$usuario'",$co) or die (mensaje(mysql_error()));
coo1($usuario, $password); //crea la cookie
echo 'Sesion iniciada con exito';
}else{
mensaje("El usuario no ha validado aun su cuenta");
}
}else{
mensaje("Contraseña incorrecta");
}
}else{
mensaje('No existe el usuario');
}
}
function limpieza1($valor)
{
$valor = str_replace('"',"//////",$valor);
$valor = str_replace("'","//////",$valor);
$valor = str_replace("@","//////",$valor);
$valor = str_replace("or","//////",$valor);
$valor = str_replace("UNION","//////",$valor);
$valor = str_replace("SELECT","//////",$valor);
$valor = str_replace("%2527","//////",$valor);
$valor = str_replace("%2725","//////",$valor);
$valor = str_replace("%20","//////",$valor);
return $valor;
}
?>
Me parece que es imposible hacer Sql inyection, algien me saca de mi error. Es que estoy haciendo un sistema bastante grande y quiero que la seguridad sea la prioridad del sistema.@set_magic_quotes_runtime(0);
function logear($usuario, $password) //las variables $usuario y $password estan limpiadas con limpieza1 en o tro archivo
{
include('./conexion.php');
$pass = mysql_query("SELECT pass FROM N_usuarios WHERE usuario='$usuario'",$co);
if(mysql_num_rows($pass)){
$pass = mysql_fetch_array($pass);
$pass[0] = htmlspecialchars($pass[0]);
$pass = $pass[0];
$password = md5(md5("<".$password.">"));
if($password === $pass){
$validado = mysql_query("SELECT validado FROM N_usuarios WHERE usuario='$usuario'",$co);
if(mysql_num_rows($validado)){
$validado = mysql_fetch_array($validado);
$validado[0] = htmlspecialchars($validado[0]);
$validado = $validado[0];
}
if($validado == 1){
$fecha = date('Y-m-d H:i:s');
$ultimologeo = mysql_query("Update N_usuarios Set ultimologeo='$fecha' Where usuario='$usuario'",$co) or die (mensaje(mysql_error()));
coo1($usuario, $password); //crea la cookie
echo 'Sesion iniciada con exito';
}else{
mensaje("El usuario no ha validado aun su cuenta");
}
}else{
mensaje("Contraseña incorrecta");
}
}else{
mensaje('No existe el usuario');
}
}
function limpieza1($valor)
{
$valor = str_replace('"',"//////",$valor);
$valor = str_replace("'","//////",$valor);
$valor = str_replace("@","//////",$valor);
$valor = str_replace("or","//////",$valor);
$valor = str_replace("UNION","//////",$valor);
$valor = str_replace("SELECT","//////",$valor);
$valor = str_replace("%2527","//////",$valor);
$valor = str_replace("%2725","//////",$valor);
$valor = str_replace("%20","//////",$valor);
return $valor;
}
?>
Saludos
En línea
