Evitar Inyecciones SQL

TrinityCore · #1 (**permalink**) 05/09/2015, 22:46

Hola gente, espero esten bien..

Miren, tengo una duda, resulta que tengo una web creada y quiero evitar las inyecciones sql..

Dicen que la manera de hacerlo es usando la funcion:

Código PHP:

  real_escape_string($_POST['lo que sea'])

Bueno, esto supongo que sirve, ya que se evitaria utilizar caracteres especiales..
Pero tengo un problema..
Yo no he creado mi web con:

Código PHP:

  real_escape_string($_POST['lo que sea'])

y sin embargo no se le puede utilizar el:

Código:

'or'1'='1

Acaso hice algo que detiene ese tipo de inyecciones sin darme cuenta?

Mi codigo de login:

Código PHP:

   
if ($_POST['logueate']) { 
$username=$_POST['username']; 
$password=$_POST['password']; 
if ($password=="") { 
echo "Ingresa un password"; 
}else{ 
$query = mysqli_query($conexion ,"SELECT * FROM users WHERE username = '$username'") or die(mysqli_error($conexion)); 
$data = mysqli_fetch_array($query); 
if($data['password'] != $password) { 
echo "Usuario y/o password incorrectos"; 
}else{ 
$query = mysqli_query($conexion ,"SELECT * FROM users WHERE username = '$username'") or die(mysqli_error($conexion)); 
$row = mysqli_fetch_array($query); 
$_SESSION["s_username"] = $row['username']; 
$_SESSION["p_password"] = $row['password']; 
$_SESSION["e_email"] = $row['email']; 
$_SESSION["p_premium"] = $row['premium']; 
header("Location: index.php"); 
} 
} 
} 
?>

Gracias de antemano!.

pateketrueke · #2 (**permalink**) 05/09/2015, 22:52

Cita:

Acaso hice algo que detiene ese tipo de inyecciones sin darme cuenta?

Comparte un enlace a tu web y te diré si es posible o no hacerte una inyección.

Claro, lo habrás intentado, pero sin saber exactamente qué hiciste ¿cómo saber si sabes lo que haces?

TrinityCore · #3 (**permalink**) 06/09/2015, 11:43

Cita:

Iniciado por pateketrueke

Comparte un enlace a tu web y te diré si es posible o no hacerte una inyección.

Claro, lo habrás intentado, pero sin saber exactamente qué hiciste ¿cómo saber si sabes lo que haces?

Luego me dices si es posible y como puedo evitarlo... por favor.

Mi web:

Código:

http://customizacion-wow.esy.es/

pateketrueke · #4 (**permalink**) 06/09/2015, 11:55

Pues definitivamente tu sitio es vulnerable:

Cita:

You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near ''''' at line 1

Sólo intente iniciar sesión y coloqué comillas simples en ambos campos.

xfxstudios · #5 (**permalink**) 06/09/2015, 15:08

En tal caso como se evitaría eso, digo, también me interesa el téma?

TrinityCore · #6 (**permalink**) 06/09/2015, 16:09

Cita:

Iniciado por pateketrueke

Pues definitivamente tu sitio es vulnerable:

Sólo intente iniciar sesión y coloqué comillas simples en ambos campos.

Y como hago que deje de ser vulnerable..
es decir.. quiero evitar que se salten el login, que manejen consultas malintencionadas en campos input.. y bueno, en generar quisiera hacerlo lo mas seguro posible.