Ver Mensaje Individual
  #25 (permalink)  
Antiguo 14/04/2011, 04:50
pintix
 
Fecha de Ingreso: octubre-2004
Ubicación: Barcelona
Mensajes: 195
Antigüedad: 20 años, 2 meses
Puntos: 7
Respuesta: Problema con hacker escapade mysql_real_scape_string usa de nombre - TRUE.

Cita:
Iniciado por yooom Ver Mensaje
Código PHP:

if ($num_rows <= 0) { 
echo 
"Lo siento hay no tienes usuario o el password: <strong>".mysql_real_escape_string($_POST['username'])."</strong><br>"
echo 
"<a href='javascript:history.go(-1)'>Volver</a>"
exit;

} else { 

setcookie("loggedin_moderador""".mysql_real_escape_string($_POST['username']).""time() + 7200"/"".dominio.es");


Aparte de lo que te han dicho de no usar setcookie, yo también creo que va por aquí el problema, tienes un problema de concepto en el fragmento de código anterior. Verifica siempre que el resultado que necesita ser seguro sea cierto, no que sea el else, ya que en ese else podría entrar un resultado nulo o indefinido en algún caso como en un fallo en la conexión con la base de datos, o en un fallo inesperado.

Por ejemplo, podrías poner:
Código PHP:
if ($num_rows === 1) { 
// código de entrada correcta

} else { 
// código de entrada errónea