Tema: Filtro para Evitar XSS ayuda
Ver Mensaje Individual
  #19 (permalink)  
Antiguo 16/03/2010, 17:29
xosgon
(Desactivado)
  
Fecha de Ingreso: marzo-2010
Mensajes: 40
Antigüedad: 14 años, 8 meses
Puntos: 0
Respuesta: Filtro para Evitar XSS ayuda
He conseguido que no se pueda acceder con el tipico 'or 1=1 or', con esta modificación del código, podesi decirme si esta bien hecho. La modificación esta en la linea 8.

Código PHP: 
Ver original
  1. <?
  2. $id_sitio = 1;
  3. include ("....");
  4.  
  5. if($procesa == "si"){
  6.  $todo_ok = 0;
  7.  
  8.  $sql="SELECT usuario, password FROM gral_usuarios_admin WHERE usuario = '" . mysql_real_escape_string($login_usuario) ."' AND password = '" . mysql_real_escape_string($password_usuario) ."'";
  9.  $result = mysql_query($sql);
  10.  
  11.  if($row_usuario = mysql_fetch_array($result)){
  12.   session_register("usuario_admin_session");
  13.   session_register("password_admin_session");
  14.   $usuario_admin_session = $row_usuario["usuario"];
  15.   $password_admin_session = $row_usuario["password"];
  16.   include("mail_accesos.php");
  17.   echo ($row_usuario['usuario'])? "<script>top.location.href='./menu.php';</script>":"<script>top.location.href='./index.php';</script>";
  18.  }
  19.  
  20. }
  21. ?>

Matices a tener en cuenta:

- La conexión a la DB la toma de un include que llama a un archivo central de configuración.
Última edición por xosgon; 16/03/2010 a las 17:30 Razón: Añadido