consulta md5

matt_1985 · #1 (**permalink**) 05/12/2012, 13:18

Tengo un script para comprobar si usuario y contraseña, intento agregarle md5 pero me arroja algunos errores , que hacen referencia a la funcion para evitar la inyeccion de sql:

Código PHP:

  $query_login = sprintf("SELECT    tb_usuario.usuario, tb_usuario.password, tb_usuario.ip    

                        FROM tb_usuario WHERE usuario = %s AND password = %s",

                        GetSQLValueString($_POST['usuario'], "text"),

                        GetSQLValueString(md5($_POST['password'], "text")));

y esta es mi otra funcion para evitar la inyeccion de sql .

Código PHP:

  if (!function_exists("GetSQLValueString")) {

    function GetSQLValueString($theValue, $theType, $theDefinedValue = "", $theNotDefinedValue = "") {

        if (PHP_VERSION < 6) {

            $theValue = get_magic_quotes_gpc() ? stripslashes($theValue) : $theValue;

        }

        $theValue = function_exists("mysql_real_escape_string") ? mysql_real_escape_string($theValue) : mysql_escape_string($theValue);

        switch ($theType) {

            case "text":

                $theValue = ($theValue != "") ? "'" . $theValue . "'" : "NULL";

                  break;    

               case "long":

            case "int":

                 $theValue = ($theValue != "") ? intval($theValue) : "NULL";

                break;

            case "double":

                $theValue = ($theValue != "") ? doubleval($theValue) : "NULL";

                break;

            case "date":

                $theValue = ($theValue != "") ? "'" . $theValue . "'" : "NULL";

                break;

            case "defined":

                $theValue = ($theValue != "") ? $theDefinedValue : $theNotDefinedValue;

                break;

        }

    return $theValue;

    }

}

Saludos

Reedyseth · #2 (**permalink**) 05/12/2012, 13:22

Tal vez puedes usar PDO lingando(Binding) los valores, PDO ya viene preparado para evitar la inyección y solo tienes que usar en enlace de datos.

Ribon · #3 (**permalink**) 05/12/2012, 13:26

En la siguiente linea

Código PHP:

Ver originalGetSQLValueString(md5($_POST['password'], "text")));

estás mándandolo el parámetro "text" a la función md5

cambiala por esto

Código PHP:

Ver originalGetSQLValueString(md5($_POST['password']), "text"));

saludos.

matt_1985 · #4 (**permalink**) 05/12/2012, 13:38

Muchas gracias por sus comentarios Ribon funciono perfecto! , Reedyseth en el futuro empezare a utilizar PDO en mis nuevos proyectos.

Saludos