Tema: Duda con el action d eun form! o.O!
Ver Mensaje Individual
  #7 (permalink)  
Antiguo 13/04/2010, 09:35
Avatar de JoseGMariani
JoseGMariani
 
Fecha de Ingreso: diciembre-2008
Ubicación: Edo Lara
Mensajes: 251
Antigüedad: 16 años, 2 meses
Puntos: 8
Respuesta: Duda con el action d eun form! o.O!
mm yo creo que s usa php por q el resto de la pagina en la paret de consultas esta echa en php...

por ejemplo en al parte de inscripciones, esta planilla:r.php cuando vas a inscribirte te imprime la hra del servidor y un form.. q me imagino q manda esos datos por get a plantilla_r.php y si son correctos te deja entrar.. si son incorrectos te sale el alert que dice; no puede sinscribirte en este momento.. lo que estaba pensando es ver is la pagina es burnerable a mysql inject de tal forma que en la consulta que verifica la hora actual es decir me imagino que sera algo como:

Código PHP:
$consulta=mysql_query("SELECT nombre FROM base de datos");
    $lado=mysql_num_rows ($consulta);
while($row=mysql_fetch_array($consulta)){
$horayfecha=$row["horayfecha"];} 
y luego hacen un if($horayfecha>$fecha)
sale el alert
}else{demas codigo..!

si esta de esa forma. hay si no puedo hacer nada verdad.. =( por q no tiene nada q ver en la consulta.. :S
me imaginoq quisas asi lo tienen por q si ponen:
"SELECT nombre FROM base de datos where fecha<fechadelserver");

tendrian un problema por que entonces los alunnnos que les toca a la misma hora podrian entrar y no se indentificaria cad auno.. mm bueno si a menos q usen secciones! =)! seguro usan secciones... pero si lo hacen asi con el where

donde le podria yo hacer una injection?
por q igual el unico dato q yo ingreso que es agarrado para la consulta es el nombre.. :S pero si usan secciones pues hay no hay donde agarrar .. :S me frgaron.. =( :S a menso q me busque el cookie d ela secicon de algun otro usuario que aya entrado y la coloque en mi temporales.. si se podria hacer eso? peo tendria que modificar la cookie para q en ves de que dija el nombre de el pues me dija el mio..

mm no pero igual si hago eso.. al decir el mio.. el codigo jecuta la consulta... =S
alguna manera de hacerlo ? es solo por las dudas.. dudo muxo que esos expertos cometan esos errores.. :S acabo de leer el perfil del creador del sistema y no es nada novato.. :S

mm de paso creo q tiene una pagina de marcos y ademas descubri q la hora la agarran de otro archivo o porlomenos la q se imprime en pantalla la agarran de otro archivo llamado hora_actual.php

pero eso no tiene importancia... :S por q la final es la hra del servidor y es imposible de que la modifique.. :S
__________________
"Nunca seas arrogante con los humildes, ni humilde con los arrogantes." Paulo Coelho..