
21/02/2012, 17:10
|
 | | | Fecha de Ingreso: junio-2011
Mensajes: 77
Antigüedad: 13 años, 9 meses Puntos: 12 | |
Respuesta: no logro hacer funcionar mysql_real_escape_string Bueno se puede utiliar para ambas cosas.
Pero las inyecciones sql solo atacaran a tus consultas Selects y no a tus INSERTS, UPDATES o DELETES.
Supongamos nos intentan meter una inyeccion de este tipo en la parte de acceso
al sistema(LOGIn)
$_POST['username'] = 'aidan';
$_POST['password'] = "' OR ''='";
-------------------------------------------------
Aca es donde recuperamos el codigo
$user = $_POST['username'] ;
$pass = $_POST['password'] ;
-De este modo no estariamos protejido..
$query = "SELECT * FROM users WHERE user='{$user }' AND password='{$pass }'";
mysql_query($query);
-Pero de este modo si:
$query = "SELECT * FROM users WHERE user='{mysql_real_escape_string($user) }' AND password='{mysql_real_escape_string($pass)}'";
mysql_query($query); |