Hola amigos,
Tengo un problema de seguridad, el tema es que no se como (supongo que con inyección sql) están cambiando las passwords en la DDBB constantemente. No puede ser un usuario porque tenemos capado el crear una nueva cuenta así que tiene que ser desde el index. En index.php solamente hay un formulario para hacer login. y llama al archivo login.php, me podeis decir si lo tengo bien estructurado o como hacerlo para mejorar la seguridad?
Código:
<?php
@session_start();
require('conexion.php');
if (isset($_POST["email"])) {
$email=$_POST["email"];
$password=$_POST["password"];
if ($password==NULL|$email==NULL) {
print "<script>";
print " self.location='error5.php'";
print "</script>";
}else{
$query = mysql_query("SELECT email,password,id_shopper FROM shoppers WHERE email =\"".mysql_real_escape_string($email)."\"") or die(mysql_error());
$data = mysql_fetch_array($query);
if($data['password'] != $password) {
print "<script>";
print " self.location='error5.php'";
print "</script>";
}else{
$query = mysql_query("SELECT email,password,id_shopper FROM shoppers WHERE email =\"".mysql_real_escape_string($email)."\"") or die(mysql_error());
$row = mysql_fetch_array($query);
$_SESSION["shoppers"] = $row['id_shopper'];
$_SESSION["autenticado"] ='si';
print "<script>";
print " self.location='home.php?id_shopper=$_SESSION[shoppers]'";
print "</script>";
}
}
}
?>
Hay algún gracioso que en vez de decirnos que tenemos un problema de seguridad, nos está cambiando las passwords, constantemente. Llevo dos ataques en dos días.
Gracias de antemano.