Hola denuevo! Tengo otro problema tengo un formulario q añade datos a mysql, pero cuando añaden un codigo html y despues se imprimen los datos me jode la web. Hagan de cuenta si añaden este codigo por el formulario me reedirecciona a otra web:
Código HTML:
< META HTTP-EQUIV="Refresh" CONTENT="3; URL=tuweb.com">
< script>alert('Hacked by Zergio');
(PONGAN EL < PEGADO A LO DEMAS YO LO SEPARE PORQUE SINO SE ME REDIRECCIONABA Y ME MANDABA LA ALERTA..)
Saludos, z3rgi0x/sadrek ;)
Este es el codigo de mi formulario:
Código PHP:
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<title>Estacion Rap</title>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8" />
<link rel="stylesheet" type="text/css" href="style.css" />
<!--[if lte IE 6]>
<link rel="stylesheet" type="text/css" href="ie.css" />
<script type="text/javascript">var clear="images/clear.gif";</script>
<script type="text/javascript" src="unitpngfix.js"></script>
<![endif]-->
</head>
<body>
<?php
$conexion = mysql_connect("sql201.byethost15.com", "b15_5229524", "09392181");
mysql_select_db("b15_5229524_estacion", $conexion);
$queEmp = "SELECT * FROM Discos ORDER BY id DESC";
$resEmp = mysql_query($queEmp, $conexion) or die(mysql_error());
$totEmp = mysql_num_rows($resEmp);
if ($totEmp> 0) {
while ($rowEmp = mysql_fetch_assoc($resEmp)) {
}
}
?>
<!-- BEGIN wrapper -->
<div id="wrapper">
<!-- BEGIN header -->
<?
include('arriba.php'); ?>
<!-- END header -->
<!-- BEGIN body -->
<div id="body">
<!-- BEGIN content -->
<div id="content">
<!-- begin post -->
<div class="first post">
<div class="r">
<?php
//coloca la coneccion correcta a mysql aqui
$conexion = mysql_connect("sql201.byethost15.com", "b15_5229524", "09392181");
//selecciona la base de datos en la que quieres trabajar
//y si esa es la unica base de datos que tienes, no vuelvas a abrir coneccion con mysql
//ni a seleccionar otra vez la db
mysql_select_db("b15_5229524_estacion", $conexion);
$queEmp = "SELECT * FROM Discos ORDER BY id DESC";
$resEmp = mysql_query($queEmp, $conexion) or die(mysql_error());
$totEmp = mysql_num_rows($resEmp);
if ($totEmp> 0) {
while ($rowEmp = mysql_fetch_assoc($resEmp)) {
//while vacio...
}
}
//si esta coneccion es la misma que la de arriba, no hace falta incluirla
//y menos incluirla 3 o 4 veces
//include('config.php'); //incluimos el config.php que contiene los datos de la conexión a la db
//include('config');
if ( $_POST['titulo'] ) {
$state = false;
if ($_POST['action'] == "add" && $_FILES['archivo']['name'] != "") {
//La subida de archivo dentro del condicional
$ruta = "./imagenes/" .time(). $_FILES['archivo']['name'];
copy($_FILES['archivo']['tmp_name'], $ruta);
echo "La imagen subio correctamente";
//VERIFICA A QUI:
//aqui conectas, denuevo pero al parecer a otra base de datos
$conexion = mysql_connect("host", "user", "pass");
//pero a una tabla del mismo nombre
mysql_select_db("b15_5229524_estacion", $conexion);
//A $postear PUEDES DARLE UN VALOR MANUALMENTE PARA PROBAR Y QUE NO FALLE LA CONSULTA
$postear = $_SESSION[usuario];
//session_start() debe estar precedido de la @ a esta altura del script
@session_start();
$que = "INSERT INTO Discos (titulo, descripcion, imagen, descarga, enviado) ";
$que.= "VALUES ('".$_POST['titulo']."', '".$_POST['descripcion']."', '".$ruta."', '".$_POST['descarga']."', '".$_SESSION['idusuario']."')";
$res = mysql_query($que, $conexion) or die(mysql_error());
$state = true;
}
}
//SI INCLUDE() ES LA MISMA CONECCION A MYSQL QUE YA HICISTE NO ES NECESARIO
//include('config.php'); //incluimos el config.php que contiene los datos de la conexión a la db y la sesión
/*
if($_SESSION[level] == 1 or $_SESSION[level] == 3){
echo '';
}else{
Header("Location: index.php");
}
*/
?>
<?
include('config.php'); //incluimos el config.php que contiene los datos de la conexión a la db y la sesión
if($_SESSION[level] == 1 or $_SESSION[level] == 3 or $_SESSION[level] ==4)
{
echo '';
}else{
Header("Location: index.php");
}
?>
<form name="formulario" form id="insertar" enctype="multipart/form-data" method="POST" action="">
<p align="left" class="Estilo1">Añadir discos</p>
<p align="left"> </p>
<p align="left">Titulo (Autor - Nombre del disco)</p>
<p align="left">
<input name="titulo" type="text" id="nombre" size="50" />
</p>
<p align="left"><br />
Canciones</p>
<p align="left">
<textarea name="descripcion" id="textarea" cols="45" rows="5"></textarea>
</p>
<p align="left"><br />
Imagen(Caratula Frontal)</p>
<p align="left">
<input type="file" name="archivo" id="archivo" />
</p>
<p align="left"><br />
Link de descarga(Empezando por http://)(Los archivos deben estar subidos en Subirfacil.com si no estan ahi, tu post sera borrado)</p>
<p align="left">
<input type="text" name="descarga" id="textfield" />
<br />
</p>
<p align="left"><br />
<input type="submit" name="Submit" value="Enviar disco" />
<br />
<input type="hidden" name="action" value="add" />
<br />
</p>
</form>
<?php
if ($state) {
echo "<p /><em>Disco agregado</em></p>";
}
?></div>
</div>
<!-- end post -->
<!-- begin post -->
<!-- end post -->
<!-- begin post -->
<!-- end post -->
</div>
<!-- END content -->
<!-- BEGIN sidebar -->
<?
include('menu.php'); ?>
<!-- END sidebar -->
<div class="break"></div>
</div>
<!-- END body -->
<!-- BEGIN footer -->
<?
include('abajo.php'); ?>
<!-- END footer -->
</div>
<!-- END -->
</body>
</html>