Como probar MySQL injection

encurto · #1 (**permalink**) 22/11/2008, 07:58

Buenas, estoy haciendo un trabajo sobre MySQL injection y para ello he hecho un simple ejemplo que consta de un formulario que tiene un input text donde introducimos un nombre de usuario. Cuando le doy al boton llamo a un php que ejecuta una consulta mysql

Código PHP:

  "SELECT * FROM Usuarios WHERE login = '{$_POST['login']}'"

Ahora lo que quiero hacer es demostrar el tipico ejemplo de que si en el input text escribo el siguiente login algo' OR '1'='1 voy a poder loguearme siempre.
Mi problema es que al imprimir $_POST['login'] me devuelve esto: algo\' OR \'1\'=\'1 por lo que la inyeccion sql no me funciona.

¿Sabeis como puedo evitar que php me incruste el caracter \' ?

Gracias!

the_web_saint · #2 (**permalink**) 22/11/2008, 08:43

Aplicale un stripslashes() a la variable POST

Saludos

encurto · #3 (**permalink**) 22/11/2008, 09:07

Cita:

Iniciado por the_web_saint

Aplicale un stripslashes() a la variable POST

Saludos

Funciona!! muchas gracias!