Hola muy buenas noches mi consulta es la siguiente hermanos estoy haciendo un script en php que recoje los datos de un formulario pero el problema es que no se si es seguro, estube divagando por la web y san-google para buscar informacion hacerca de como prevenir inyecciones sql la que mas abundaba era la de limpiar los datos del formulario con mysql_real_scape_string el problema es que en mssql no se como seria la consulta
por favor si pueden hacerle una correccion a mi codigo les estaria muy agradecido el codigo funciona a la perfeccion muchas gracias y espero sus respuestas
Código:
<body>
<div id="felicidades" align="center"><?
$conexion = mssql_connect("127.0.0.1", "sa", "--------fran1737");
mssql_select_db("MuOnline", $conexion);
$usuario=$_POST['user'];
$contra=$_POST['pass'];
$consulta = "SELECT * FROM MEMB_INFO WHERE memb___id = '$usuario' AND memb__pwd ='$contra'";
$resultado = mssql_query( $consulta ) or die( mysql_error() );
if(mssql_num_rows($resultado)==1)
{( mssql_query("INSERT INTO nochevip (cuentaid,email,pass,pass1,numerodeposito,numerotarjeta) VALUES ('{$_POST['user']}','{$_POST['email']}','{$_POST['pass']}','{$_POST['pass1']}','{$_POST['numerodeposito']}','{$_POST['numerotarjeta']}')"));
print "<script>alert('Felisidades te has inscrito en la NOCHEVIP')</script>";
print("<script>window.location.replace('pagina donde redireccionar');</script>");
}else{
print "<script>alert('Usuario o contraseña incorrecta')</script>";
print("<script>window.location.replace('index.php');</script>");
}
?>
</div>
</body>