
30/01/2012, 06:17
|
| | Fecha de Ingreso: marzo-2008
Mensajes: 383
Antigüedad: 17 años Puntos: 5 | |
Respuesta: Este codigo evita sql injection? Si no entra creo que debe ser por eso:
if ($client['password'] == $password || $client['password'] == $passwordNoMD5){
return true;
En en caso que alguna contraseña de cualquier usuario coincidiera, sería un problema.
Pero sería muy complicado, no? Estando codificado en sha1
Edito: ahora si que me accede al usuario usando como contraseña:
' or '1'='1 Usando mysql_real_escape_string se soluciona el problema
Última edición por cslbcn; 30/01/2012 a las 06:26 |