Me da error de Warning

rafaconpu · #1 (**permalink**) 20/07/2009, 11:06

Buenas tardes,

Tengo el siguiente código (aparentemente está bien):

Código PHP:

  $user=trim($_POST['tusuario']); 
    $pass=md5(trim($_POST['tpassword'])); 
 
    $sql = "select usuario, password from t_socio where usuario='$user' and password='$pass'"; 
 
    $rs = mysql_query($sql, $conn);     
 
    if (mysql_num_rows($rs) != 0){ 
        echo "Hay Registros"; 
    }else{ 
        echo "No devuelve nada"; 
    }

pero siempre me devuelve este Warning:

Warning: mysql_num_rows(): supplied argument is not a valid MySQL result resource in

He probado a poner la SQL de todas las maneras posibles, incluso indicándole un valor estático en la claúsula WHERE en lugar de pasarle una variable y siempre me da el mismo warning, no llegando a devolver ningún registro.

He comprobado en la tabla y efectivamente tengo un registro que coincide tanto el usuario como el password.

¿Qué puede estar ocurriendo?

Solucion: El error estaba en la asignacion de privilegios para el usuario concreto de la base de datos, el cual no tenía los permisos necesarios asignados.

albert1980 · #2 (**permalink**) 21/07/2009, 04:18

De todas formas tienes que tener cuidado con sql injection:

¿Qué pasaría si el usuario inserta admin'/* ?:

la consulta quedaría así:

select usuario, password from t_socio where usuario='admin'/* and password='passenmd5'

para evitar eso debes filtrar las comillas simples '

Saludos!

bioxido · #3 (**permalink**) 21/07/2009, 11:00

Sin desvirtuar el tema, solo una pregunta....

si el usuario inserta admin'/* como vos decis, que pasaria osea, bien... tal vez logre 'hackear' el primer WHERE, pero mysql no va a devolver ningun dato a menos que se cumplan las condiciones: usuario='$user' and password='$pass' ¿no?