<?php
// Por reydelmundo11
// quitar el comentario de la linea siguiente
// magic_quotes_gpc = Off;
?>
Nose como funciona eso :S.... pero para saber si las magic quotes estan activadas basta con hacer
<?php
echo get_magic_quotes_gpc(); //te dice 0 si esta desactivadas y 1 adivinen cuando XD
?>
Muy bueno el tutorial, ahora mismo estoy haciendo la practica con hackme.php.
Solo me resta una pregunta: Si tiene magic quotes activadas, no se puede hacer NADA? he visto maneras de saltar eso haciendo
s%') UNION SELECT
Nunca he practicado sql inyection (buscando yo) pero se como prevenirme XD, y como recomendacion diria que es bueno filtrar TODOS los datos que el usuario pueda escribir... y con eso quedariamos limpios.
Ahhh y se me olvidaba,en form action = login.php,
no existe, seria mejor poner php_self, pero eso no fue lo hice yo.
Ojalá que no te moleste (y bueno si te molesta.... lo borras XD)
Me tome la libertad de hacer el ejercicio mas amigable men
, por lo tanto pongo el codigo
:
hackme.php
<?php
// Por reydelmundo11
$resp = get_magic_quotes_gpc();
if ($resp == 0 ) {
echo "Ok ok... tenemos serios problemas de seguridad";
} else {
echo "Todo bien :)";
}
echo '<body>
<form action=login.php method=post>
<p align="center"><b>Login:</b><input type=text name=login value="ADMIN">
<p align="center"><b>Password del admin:</b><input type=text name=pass>
</p>
<p align="center">
<input type=submit value="Entrar"></p>
</form>
</body>';
?>
login.php
<?php
// ESTO ES PARA DESACTIVAR EL EFECTO DE LAS MAGIC QUOTES
$login = str_replace ( '\\\'', '\'', $login );
$pass = str_replace ( '\\\'', '\'', $pass );
require ("../../config.inc.php");
conectar();
$entrada = mysql_query("SELECT usuario FROM usuarios Where usuario='$login' and password='$pass'",$conn) or die(mysql_error());
if(mysql_num_rows($entrada)=='0')
{
echo 'Error en el login, el password '.$pass.' no corresponde a '.$login;
}else{
echo 'Usted se nos logeo con éxito <br> Bienvenido';
}
?>
Si sabes sql se hara muy facil resolver el ejercicio
, ah y recuerden que yo no hice el ejercicio, sino
Sirdarckcat.
Chau
Autor
En línea
