Estan con mysql_real_scape_tring fijate , Pero logro entrar el hacker no esta sirviendo esa tecnica
Muestro codigo :
Código PHP:
ob_start();
//conexion
include("../config/config_conexion.php");
$link = conectar($host,$user,$pass,$db);
$match = "SELECT id FROM ac_admin where username = '".mysql_real_escape_string($_POST['username'])."' and password = '".mysql_real_escape_string($_POST['password'])."';";
$qry = mysql_query($match)
or die ("Could not match data because ".mysql_error());
$num_rows = mysql_num_rows($qry);
if ($num_rows <= 0) {
echo "Lo siento hay no tienes usuario o el password: <strong>".mysql_real_escape_string($_POST['username'])."</strong><br>";
echo "<a href='javascript:history.go(-1)'>Volver</a>";
exit;
} else {
setcookie("loggedin_moderador", "".mysql_real_escape_string($_POST['username'])."", time() + 7200, "/", ".dominio.es", 0 );
echo "Welcome: <strong>".mysql_real_escape_string($_POST['username'])."</strong><br>";
echo "Continue to the <a href=estas_logeado.php>ir a estas logeado.php</a> section.";
}
ob_end_flush();