Cita:
Iniciado por ZeThito
Hola =)
La validacíón del captcha esta con jQuery.
Esto es solo una validación para que el usuario no ingrese por Url a esta página,
Al final tengo:
Eso que pusiste allí se traduce en :
if (true == true ...
o false == false
No está comparando que Random == Math. Aunque Random se cree en otra página, puedes llamar a la otra página antes y después a esta.
Mmmm ... ¿y que se supone que tiene que ver JQuery con una validación del lado del servidor? Evidentemente el problema no es de inyección de SQL, pero por supuesto a mi no me creas nada de lo que escribo, porque el programa que usas ya te dijo que era inyección de SQL y por supuesto tienes que creer en lo que te dijo el programa.
El problema realmente es que no validas el captcha del lado del servidor, así que si hago un post manualmente con cualquier herramienta automatizada, el programa acepta la secuencia de insert's sin chistar. Es decir, si hago un programa que llame a la página donde está el insert y que mande datos por post y repito la operación miles de veces, entonces se insertan miles de veces, porque el la lógica está mal escrita isset() == isset() de una variable que está en SESSION y por eso crees que no se puede crear fácilmente, y porque no validas el capta sino con JQuery (que es javascript y corre del lado del cliente, cualquier validación del lado del cliente se puede falsificar fácilmente).
Como seguramente yo estoy equivocado, posiblemente alguien mas te sea de mayor ayuda,
Saludos,