Ver Mensaje Individual
  #1 (permalink)  
Antiguo 04/03/2016, 21:50
wilson_romero
 
Fecha de Ingreso: diciembre-2015
Mensajes: 369
Antigüedad: 9 años
Puntos: 4
como prevenir esta inyección 'or '1'='1

hola como le conté estoy empesando en esto de php y mysql y encontré un video para hacer un login sencillo y resulta que luego lo pruebo con esta simple inyeccion y resulto que la inyección paso muy fácil.
Me gustaría saber como puedo protejer mi código de esta inyección gracias.

este es el código de my practica

Código HTML:
Ver original
  1. form action="proceso.php" method="POST">
  2.    
  3.     Nombre: <input type="text" name="usuario" value="" placeholder="usuario....."><br>
  4.    
  5.     Pass: <input type="text" name="contrasena" value="" placeholder="Contrasena..."><br>
  6.     <input type="submit" value"aceptar" /></form><br>
  7. </form>

PHP

Código PHP:
Ver original
  1. <?php
  2.  
  3.  
  4. $usuario = $_POST['usuario'];
  5. $contrasena = $_POST['contrasena'];
  6.  
  7. include("conexion.php");
  8.  
  9. $proceso =  mysqli_query($conexion,"SELECT * FROM usuarios WHERE usuario='$usuario' AND contrasena='$contrasena'");
  10.  
  11. //$proceso = $conexion->query("SELECT * FROM usuarios WHERE usuario='$usuario' AND contrasena='$contrasena'"); //$mysqli->query () dice que mysql ejecute el query
  12.  
  13.     if($resultado = mysqli_fetch_array($proceso))
  14.     {
  15.         $_SESSION['u_usuario'] = $usuario;
  16.         header("location: sesion.php");
  17.        
  18.     }
  19.     else
  20.     {
  21.         echo "calve erronea" ;
  22.     }
  23.  
  24. ?>