Injeccion sql

Foro de elhacker.net

Programación

Desarrollo Web

PHP (Moderador: #!drvy)

Injeccion sql

0 Usuarios y 1 Visitante están viendo este tema.

Páginas: [1]

Autor

Tema: Injeccion sql (Leído 1,648 veces)

patilanz

Desconectado

Mensajes: 481

555-555-0199@example.com

Injeccion sql

« en: 27 Agosto 2013, 09:37 am »

Hola tengo el siguiente codigo:

Código

if(!$errores){
        $con=mysql_connect($h,$u,$p,$b) or die(mysql_error());
        $b=mysql_select_db($b,$con);
        $select=mysql_query('SELECT * FROM registro_c WHERE user="'.trim($_POST['user']).'"') or die(mysql_error());
        if($select){
            $select=mysql_fetch_array($select);
            if($select['pw']!=trim(md5($_POST['pw']))){
                $errores[]='User o pass incorrectos';
            }
        }else{
            $errores[]='User o pass incorrectos';   
        }
    }

$errores esta vacio al principio.

Alguien me puede ayudar a injectarme a mi mismo ?? Es para aprender, ya que lo he intentado y no se me ocurre como .


	En línea

:ohk<any>

Desconectado

Mensajes: 1.744

Yo lo que quiero que me salga bien es la vida.

Re: Injeccion sql

« Respuesta #1 en: 27 Agosto 2013, 15:49 pm »

Sabes un poco de inyecciones SQL?.
WHK y otros usuarios lo explican bastante y hay mucha información en "Nivel web".
Antes de meter ese $_POST['user'] deberías limpiar lo que recibes, no solo acortar los espacios en blanco de cada lado.
Antes se usaba los addslashes, html_special_chars, entre otros...
Pero ahora WHK a posteado una función para limpiar las variables y evitar estos problemas.

Saludos


	En línea

Y es que a veces pienso que si no estuviera loco no podría salir adelante.
Lo que no se es capaz de dar, en realidad no se posee, uno es poseído por ello.

:ohk<any>

Desconectado

Mensajes: 1.744

Yo lo que quiero que me salga bien es la vida.

Re: Injeccion sql

« Respuesta #2 en: 27 Agosto 2013, 15:58 pm »

Mira, acá hay un poco de hace años, quizás te ayude.

http://foro.elhacker.net/nivel_web/sql_injection_para_principiantes_ejemplos_en_aplicaciones_reales-t142203.0.html

Saludos


	En línea

Y es que a veces pienso que si no estuviera loco no podría salir adelante.
Lo que no se es capaz de dar, en realidad no se posee, uno es poseído por ello.

patilanz

Desconectado

Mensajes: 481

555-555-0199@example.com

Re: Injeccion sql

« Respuesta #3 en: 27 Agosto 2013, 18:43 pm »

Hola, lei el post y descargue los archivos pero me dan errores. Osea el archivo install.php no funciona y cree las consultas solo. Pero luego links.php también me da errores:

Notice: Undefined index: templates/error_die.tmpl in C:\xampp\htdocs\sslinks\global.inc.php on line 173
An error has caused the script to terminate abruptly. Here is the error message:
Unable to select database.

Notice: Undefined index: templates/admin_login_option.tmpl in C:\xampp\htdocs\sslinks\global.inc.php on line 173

Notice: Undefined index: templates/footer_menu.tmpl in C:\xampp\htdocs\sslinks\global.inc.php on line 173

Yo he leído aparte pero quiero aprender mas sobre sql injection.

Saludos


	En línea

Páginas: [1]

Ir a:

Mensajes similares
	Asunto	Iniciado por	Respuestas	Vistas	Último mensaje
	SQL Injeccion- Pregunta Nivel Web	VCore	6	4,615	29 Junio 2005, 01:39 am por VCore
	Injeccion SQL Nivel Web	Distorsion	4	4,268	24 Agosto 2007, 02:02 am por sirdarckcat
	ASP.net + Injeccion SQL .NET (C#, VB.NET, ASP)	acid0ikario	6	4,830	20 Febrero 2011, 16:44 pm por acid0ikario
	Injeccion Sql Bugs y Exploits	kiorochi	9	6,507	30 Abril 2013, 21:05 pm por berz3k
	sql injeccion login Nivel Web	geshiro	1	2,235	19 Mayo 2016, 17:51 pm por odeONeSs