No he subido la nueva versión todavía .. entre otras cosas por qué me faltan algunas pruebas.

De hecho el famoso "bug" que reportaron y que por eso cerré la descarga de Autentificator hasta el momento por mi parte no he podido reproducirlo.

He probado a inyectar SQL tanto en configuraciones de "magic_quote_gpc" a ON como a OFF (sobre todo a OFF es donde más afectaría el problema) y .. que quieren que les diga .. por mi parte no he podído hacer nada ...

Yo sé que no filtro (en la versión a la fecha de Autentificator) las variables que me llegan por "POST" al realizar la validación del usuario .. tal vez la "confianza" en que PHP siempre ha estado por defecto "magic_quote_gpc" a ON y que uso en la construcción del SQL algo tipo variable='$_POST['variable']' (con comillas simples) y sumado a que por un lado obtengo el usuario y luego valido su contraseña (no todo en una misma sentencia SQL) .. realmente me hacen dudar sobre la efectividad del fallo de seguridad, pero igualmente no la descarto, sólo que por más que intento no he podido reproducir el "bug" de seguridad.

De hecho .. el script lleva publicado desde el 18/08/2002 (versión 2.x donde empecé a usar los arrays supeglobales) .. y hasta la fecha del reporte del fallo de seguridad: "Sep 02 2006" .. nunca he recibido reclamo de -nadie- sobre algún "hackeo" de sistemas autentificados con "Autentificator" .. será por qué ahora está de moda el tema de "SQL inyectión" .. (pues ese problema -siempre ha existido- para todo el que maneje datos externos y ataquen a sentencias SQL ... ), o no sé .. pero me parece "extraño" que ahora despues de tantos años (unos 4 años!) reporten el problema.

Si alguien me puede documentar un ejemplo práctico y los resultados que puede obtener con ese ejemplo le estaría agradecido.

Un saludo,