Tema: como prevenir esta inyección 'or '1'='1
Ver Mensaje Individual
  #1 (permalink)  
Antiguo 04/03/2016, 21:50
wilson_romero
 
Fecha de Ingreso: diciembre-2015
Mensajes: 369
Antigüedad: 8 años, 10 meses
Puntos: 4
como prevenir esta inyección 'or '1'='1
hola como le conté estoy empesando en esto de php y mysql y encontré un video para hacer un login sencillo y resulta que luego lo pruebo con esta simple inyeccion y resulto que la inyección paso muy fácil.
Me gustaría saber como puedo protejer mi código de esta inyección gracias.

este es el código de my practica

Código HTML: 
Ver original
  1. form action="proceso.php" method="POST">
  2.     
  3.     Nombre: <input type="text" name="usuario" value="" placeholder="usuario....."><br>
  4.     
  5.     Pass: <input type="text" name="contrasena" value="" placeholder="Contrasena..."><br>
  6.     <input type="submit" value"aceptar" /></form><br>
  7. </form>

PHP

Código PHP: 
Ver original
  1. <?php
  2.  
  3. session_start(); 
  4.  
  5. $usuario = $_POST['usuario'];
  6. $contrasena = $_POST['contrasena'];
  7.  
  8. include("conexion.php");
  9.  
  10. $proceso =  mysqli_query($conexion,"SELECT * FROM usuarios WHERE usuario='$usuario' AND contrasena='$contrasena'");
  11.  
  12. //$proceso = $conexion->query("SELECT * FROM usuarios WHERE usuario='$usuario' AND contrasena='$contrasena'"); //$mysqli->query () dice que mysql ejecute el query
  13.  
  14.     if($resultado = mysqli_fetch_array($proceso))
  15.     {
  16.         $_SESSION['u_usuario'] = $usuario;
  17.         header("location: sesion.php");
  18.         
  19.     }
  20.     else 
  21.     {
  22.         echo "calve erronea" ;
  23.     }
  24.  
  25. ?>