elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.


 


Tema destacado: Guía actualizada para evitar que un ransomware ataque tu empresa


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Bugs y Exploits
| | |-+  Nivel Web (Moderadores: sirdarckcat, WHK)
| | | |-+  Una ayudita con SQL injection
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Una ayudita con SQL injection  (Leído 2,034 veces)
Ruyle

Desconectado Desconectado

Mensajes: 33



Ver Perfil
Una ayudita con SQL injection
« en: 1 Julio 2005, 00:39 »

Hola buenas, no tengo mucha idea de sql ijection, y me gustaria aprender algo, por eso ando mirando este codigo:

Citar
// LOGIN DE USUARIOS:
if ( $_GET[login] == 1 ) {

  if ( ($_POST[miembro_login]=="") OR ($_POST[miembro_password]=="")) {
    echo ("<script>window.open('index.php?mod=Miembros&op=login&error=1','_self')</script>");
  }
 
  $sql = mysql_query("SELECT * FROM ".$pref."_miembros where Login='$_POST[miembro_login]'",$conecta);
  $row = mysql_fetch_array($sql);
  $idioma_miembro = "$row[Idioma]";
  $pwd = md5($_POST[miembro_password]);
  if ($_POST[miembro_login]==$row["Login"] && $pwd==$row["Password"]) {

   session_name('GT_Miembro');
   session_start();
   $_SESSION[miembro_login]=$_POST[miembro_login];
   
   mysql_free_result($sql);
   $nivel_miembro = "5";
   
   $hoyfecha=date(Y)."-".date(m)."-".date(d);   
   mysql_query("UPDATE ".$pref."_miembros SET ultimoAcceso='$hoyfecha' WHERE Login='$_POST[miembro_login]'", $conecta);

   mysql_close($conecta);

Notais algo raro que se pueda hacer o algo?
Gracias
En línea

What ???
el-brujo
ehn
***
Desconectado Desconectado

Mensajes: 19.682


La libertad no se suplica, se conquista


Ver Perfil WWW
Re: Una ayudita con SQL injection
« Respuesta #1 en: 1 Julio 2005, 10:21 »

limpia las variables antes de hacer la query.


Seguridad con php a nivel de programador:

Evitar inyección de SQL en PHP
http://foro.elhacker.net/index.php/topic,32862.0

BLOQUEO DE ATAQUES XSS Y SQL INJECTION A PAGINAS WEB PHP BAJO HOSTING
http://foro.elhacker.net/index.php/topic,45693.0.html

¿Cómo capturar errores en php?
http://foro.elhacker.net/index.php/topic,31656.0

Seguridad con php a nivel de administrador:

Seguridad en PHP
http://foro.elhacker.net/index.php/topic,19903.0.html
En línea

Since 2001, still kicking hard
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  
Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines