llevo desde el comienzo del post advirtiendole de lo que tu acabas de decir... macho leete los temas antes de contestar xD

yo no se si es normal ... pero no es algo extraño que la niña tenga los dientes de su izquierda hundidos? xD

el tuto esta mu currao xD

busca por el foro k hay manuales para hacer inyección sql y otro tipo de ataques, para editar las sesiones y tal depende del navegador...

yo quiero ser tan grande como la luna

no entiendo que quieres hacer... llamar a un formulario y ejecutar una función? create una variable global y al cargar el otro formulario la compruebe para lanzar o no la búsqueda,

si te explicas mejor podré entenderte

como te he dicho no hace falta ni logearse para entrar a tu zona restringida xD

y una vez ahi se puede inyectar código al insertar noticias y tal, por no mencionar que se puede como has dicho borrar todas las noticias de la base de datos xD

eso es una lamerada ... xD


recomendación, comprobar los datos de la sessión antes de utilizarlos, y hacer la comprobación doble que el user y el pass sean buenos (en todas las zonas en las que quieras meter seguridad) te haces una función que haga todo eso y listo

lo de seguridad y tal en las consultas y subidas de archivos...
yo creo que te pueden hacer de todo, por ejemplo:
si alguien logra entrar, sube un achivo y le mete una url en la noticia todo el que entre y la clique mismamente, quedaría infectado... y eso es lo primero que se me ha ocurrido

asi que filtra las subidas (k son un par de ifs)

a mi por de pronto no se me ocurre nada más que comentarte

las sesiones se pueden manipular también desde el usuario y tal...

no hace falta ni logearse para hacerte una inyección ya que solo compruebas si existe la sesión, no si la sesión es correcta y contiene datos verdaderos

yo podría entrar simplemente editando una sessión que pusiese algo diferente de vacio como usuario.

eso es lo primero que he visto al ojear las primeras líneas de tu código... voy a mirar un poco más y te sigo diciendo xD


En serio te funciona esto¿?

estas metiendo datos de texto sin meter comillas, ¿se las añade la función no, y supongo que también comprobará que no te meten lameradas xD?

$insertSQL = sprintf("INSERT INTO noticias (Titulo, Texto1, Imagen) VALUES (%s, %s, %s)",
                       GetSQLValueString($_POST['Titulo'], "text"),
                       GetSQLValueString($_POST['Texto1'], "text"),



si el id es autoincremental y usas mysql...(si se supone que es clave primaria, cosa que me temo que no) no dejaría enviar 500 en un segundo, al no ser clave primaria, envia los 500 inserts a la vez y al colapsarse la base de datos no aumenta el autoincremental (por el commit y tal xD)

lo que utilizarón es un script que lanza simultáneamente esas 500 peticiones sin más, pon como clave primaria al identificador de la noticia y añade un contador que no permita enviar noticias hasta pasado 1 minuto después de su última (vía mysql o po sesion) y la otra opción es utilizar captcha

jaja keda muy chulo, aunque en el primer caso con el primer paso creo que ya se ve en tono pintura

claro que es vulnerable, desde luego xk faltan los comentarios iniciales en el que le puse que tenía que comprobar si los valores de las cookies son correctos y no intentos de lameradas, pero supongo que el muchacho estará bastante liado con tanto code como se ha posteado xD

cuando me ponga a realizar un ingreso de usuarios para mi próximo proyecto, comparto el code con vosotros (y de paso criticáis los posibles fallos/inseguridades) la idea seria crear un ingreso de usuario seguro como base para los foreros

saludos xD

queria presentaros la interfaz de un jueguecillo que ando haciendo, ave que os parece

como lo mio no es el diseño no se si cumple su cometido estético o no xD
si a alguien le sobra tiempo y quiere mejorarla o aportarme alguna sugerencia tendrá mi agradecimiento xD

os cuento un poco de que va el juego para los interesados, es un juego de estrategia por turnos, las unidades y demás son orcos, guerreros, esqueletos, trasgos ...etc..., el trozo gris del centro es el tablero (es de 11x11, cada cuadradito tiene de lado 81 pixeles)
la interfaz del juego es simple, permite guardar y cargar la partida asi como salir (todavia no he añadido los botones para esas tres acciones), permite visualizar el oro y la comida de que dispones, asi como los stats de una unidad. También tiene un menú de reclutamiento.

ahi os la dejo