Ver Mensaje Individual
  #1 (permalink)  
Antiguo 05/09/2015, 22:46
TrinityCore
 
Fecha de Ingreso: agosto-2015
Ubicación: Rosario - Argentina
Mensajes: 424
Antigüedad: 9 años, 4 meses
Puntos: 12
Evitar Inyecciones SQL

Hola gente, espero esten bien..

Miren, tengo una duda, resulta que tengo una web creada y quiero evitar las inyecciones sql..

Dicen que la manera de hacerlo es usando la funcion:
Código PHP:
real_escape_string($_POST['lo que sea']) 
Bueno, esto supongo que sirve, ya que se evitaria utilizar caracteres especiales..
Pero tengo un problema..
Yo no he creado mi web con:
Código PHP:
real_escape_string($_POST['lo que sea']) 
y sin embargo no se le puede utilizar el:
Código:
'or'1'='1
Acaso hice algo que detiene ese tipo de inyecciones sin darme cuenta?

Mi codigo de login:
Código PHP:

if ($_POST['logueate']) {
$username=$_POST['username'];
$password=$_POST['password'];
if (
$password=="") {
echo 
"Ingresa un password";
}else{
$query mysqli_query($conexion ,"SELECT * FROM users WHERE username = '$username'") or die(mysqli_error($conexion));
$data mysqli_fetch_array($query);
if(
$data['password'] != $password) {
echo 
"Usuario y/o password incorrectos";
}else{
$query mysqli_query($conexion ,"SELECT * FROM users WHERE username = '$username'") or die(mysqli_error($conexion));
$row mysqli_fetch_array($query);
$_SESSION["s_username"] = $row['username'];
$_SESSION["p_password"] = $row['password'];
$_SESSION["e_email"] = $row['email'];
$_SESSION["p_premium"] = $row['premium'];
header("Location: index.php");
}
}
}
?> 
Gracias de antemano!.