Ver Mensaje Individual
  #13 (permalink)  
Antiguo 21/02/2013, 12:31
corei7
 
Fecha de Ingreso: febrero-2013
Mensajes: 119
Antigüedad: 11 años, 10 meses
Puntos: 2
Respuesta: SQLSRV Evitar inyección de código? PHP

Qué opinan de este código? Hace la función de impedir la inyección?

Código:
<form method="post" action="injection.php" enctype="multipart/form-data" > 
    Username:<input type="text" name="Username" id="Username"/></br> 
    Password:<input type="text" name="Password" id="Password"/></br> 
    <input type="submit" name="submit" value="Submit" /> 
</form> 
<?php 



$params = array($_POST['Username'], $_POST['Password']);

$server = "MyServer\sqlexpress"; 
$options = array("Database"=>"ExampleDB", "UID"=>"MyUID", "PWD"=>"MyPWD"); 
$conn = sqlsrv_connect($server, $options); 
$sql = "SELECT * FROM UserTbl WHERE Username = ? and Password = ?"; 
$stmt = sqlsrv_query($conn, $sql, $params); 
if(sqlsrv_has_rows($stmt)) 
{ 
    echo "Welcome."; 
} 
else 
{ 
    echo "Invalid password."; 
} 
?>