Título: Una ayudita con SQL injection Publicado por: Ruyle en 1 Julio 2005, 00:39 am Hola buenas, no tengo mucha idea de sql ijection, y me gustaria aprender algo, por eso ando mirando este codigo:
Citar // LOGIN DE USUARIOS: if ( $_GET[login] == 1 ) { if ( ($_POST[miembro_login]=="") OR ($_POST[miembro_password]=="")) { echo ("<script>window.open('index.php?mod=Miembros&op=login&error=1','_self')</script>"); } $sql = mysql_query("SELECT * FROM ".$pref."_miembros where Login='$_POST[miembro_login]'",$conecta); $row = mysql_fetch_array($sql); $idioma_miembro = "$row[Idioma]"; $pwd = md5($_POST[miembro_password]); if ($_POST[miembro_login]==$row["Login"] && $pwd==$row["Password"]) { session_name('GT_Miembro'); session_start(); $_SESSION[miembro_login]=$_POST[miembro_login]; mysql_free_result($sql); $nivel_miembro = "5"; $hoyfecha=date(Y)."-".date(m)."-".date(d); mysql_query("UPDATE ".$pref."_miembros SET ultimoAcceso='$hoyfecha' WHERE Login='$_POST[miembro_login]'", $conecta); mysql_close($conecta); Notais algo raro que se pueda hacer o algo? Gracias Título: Re: Una ayudita con SQL injection Publicado por: el-brujo en 1 Julio 2005, 10:21 am limpia las variables antes de hacer la query.
Seguridad con php a nivel de programador: Evitar inyección de SQL en PHP http://foro.elhacker.net/index.php/topic,32862.0 BLOQUEO DE ATAQUES XSS Y SQL INJECTION A PAGINAS WEB PHP BAJO HOSTING http://foro.elhacker.net/index.php/topic,45693.0.html ¿Cómo capturar errores en php? http://foro.elhacker.net/index.php/topic,31656.0 Seguridad con php a nivel de administrador: Seguridad en PHP http://foro.elhacker.net/index.php/topic,19903.0.html |