Hola gente, espero esten bien..
Miren, tengo una duda, resulta que tengo una web creada y quiero evitar las inyecciones sql..
Dicen que la manera de hacerlo es usando la funcion:
Código PHP:
real_escape_string($_POST['lo que sea'])
Bueno, esto supongo que sirve, ya que se evitaria utilizar caracteres especiales..
Pero tengo un problema..
Yo no he creado mi web con:
Código PHP:
real_escape_string($_POST['lo que sea'])
y sin embargo no se le puede utilizar el:
Acaso hice algo que detiene ese tipo de inyecciones sin darme cuenta?
Mi codigo de login:
Código PHP:
if ($_POST['logueate']) {
$username=$_POST['username'];
$password=$_POST['password'];
if ($password=="") {
echo "Ingresa un password";
}else{
$query = mysqli_query($conexion ,"SELECT * FROM users WHERE username = '$username'") or die(mysqli_error($conexion));
$data = mysqli_fetch_array($query);
if($data['password'] != $password) {
echo "Usuario y/o password incorrectos";
}else{
$query = mysqli_query($conexion ,"SELECT * FROM users WHERE username = '$username'") or die(mysqli_error($conexion));
$row = mysqli_fetch_array($query);
$_SESSION["s_username"] = $row['username'];
$_SESSION["p_password"] = $row['password'];
$_SESSION["e_email"] = $row['email'];
$_SESSION["p_premium"] = $row['premium'];
header("Location: index.php");
}
}
}
?>
Gracias de antemano!.