Foros del Web » Programando para Internet » PHP »

Evitar Inyecciones SQL

Estas en el tema de Evitar Inyecciones SQL en el foro de PHP en Foros del Web. Hola gente, espero esten bien.. Miren, tengo una duda, resulta que tengo una web creada y quiero evitar las inyecciones sql.. Dicen que la manera ...
  #1 (permalink)  
Antiguo 05/09/2015, 23:46
 
Fecha de Ingreso: agosto-2015
Ubicación: Rosario - Argentina
Mensajes: 418
Antigüedad: 4 años, 3 meses
Puntos: 11
Evitar Inyecciones SQL

Hola gente, espero esten bien..

Miren, tengo una duda, resulta que tengo una web creada y quiero evitar las inyecciones sql..

Dicen que la manera de hacerlo es usando la funcion:
Código PHP:
real_escape_string($_POST['lo que sea']) 
Bueno, esto supongo que sirve, ya que se evitaria utilizar caracteres especiales..
Pero tengo un problema..
Yo no he creado mi web con:
Código PHP:
real_escape_string($_POST['lo que sea']) 
y sin embargo no se le puede utilizar el:
Código:
'or'1'='1
Acaso hice algo que detiene ese tipo de inyecciones sin darme cuenta?

Mi codigo de login:
Código PHP:

if ($_POST['logueate']) {
$username=$_POST['username'];
$password=$_POST['password'];
if (
$password=="") {
echo 
"Ingresa un password";
}else{
$query mysqli_query($conexion ,"SELECT * FROM users WHERE username = '$username'") or die(mysqli_error($conexion));
$data mysqli_fetch_array($query);
if(
$data['password'] != $password) {
echo 
"Usuario y/o password incorrectos";
}else{
$query mysqli_query($conexion ,"SELECT * FROM users WHERE username = '$username'") or die(mysqli_error($conexion));
$row mysqli_fetch_array($query);
$_SESSION["s_username"] = $row['username'];
$_SESSION["p_password"] = $row['password'];
$_SESSION["e_email"] = $row['email'];
$_SESSION["p_premium"] = $row['premium'];
header("Location: index.php");
}
}
}
?> 
Gracias de antemano!.
  #2 (permalink)  
Antiguo 05/09/2015, 23:52
Avatar de pateketrueke
Modernizr
 
Fecha de Ingreso: abril-2008
Ubicación: Mexihco-Tenochtitlan
Mensajes: 26.399
Antigüedad: 11 años, 8 meses
Puntos: 2534
Respuesta: Evitar Inyecciones SQL

Cita:
Acaso hice algo que detiene ese tipo de inyecciones sin darme cuenta?
Comparte un enlace a tu web y te diré si es posible o no hacerte una inyección.

Claro, lo habrás intentado, pero sin saber exactamente qué hiciste ¿cómo saber si sabes lo que haces?
__________________
Y U NO RTFM? щ(ºдºщ)

No atiendo por MP nada que no sea personal.
  #3 (permalink)  
Antiguo 06/09/2015, 12:43
 
Fecha de Ingreso: agosto-2015
Ubicación: Rosario - Argentina
Mensajes: 418
Antigüedad: 4 años, 3 meses
Puntos: 11
Respuesta: Evitar Inyecciones SQL

Cita:
Iniciado por pateketrueke Ver Mensaje
Comparte un enlace a tu web y te diré si es posible o no hacerte una inyección.

Claro, lo habrás intentado, pero sin saber exactamente qué hiciste ¿cómo saber si sabes lo que haces?
Luego me dices si es posible y como puedo evitarlo... por favor.

Mi web:
Código:
http://customizacion-wow.esy.es/
  #4 (permalink)  
Antiguo 06/09/2015, 12:55
Avatar de pateketrueke
Modernizr
 
Fecha de Ingreso: abril-2008
Ubicación: Mexihco-Tenochtitlan
Mensajes: 26.399
Antigüedad: 11 años, 8 meses
Puntos: 2534
Respuesta: Evitar Inyecciones SQL

Pues definitivamente tu sitio es vulnerable:
Cita:
You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near ''''' at line 1
Sólo intente iniciar sesión y coloqué comillas simples en ambos campos.
__________________
Y U NO RTFM? щ(ºдºщ)

No atiendo por MP nada que no sea personal.
  #5 (permalink)  
Antiguo 06/09/2015, 16:08
Avatar de xfxstudios  
Fecha de Ingreso: junio-2015
Ubicación: Valencia - Venezuela
Mensajes: 2.448
Antigüedad: 4 años, 5 meses
Puntos: 263
Respuesta: Evitar Inyecciones SQL

En tal caso como se evitaría eso, digo, también me interesa el téma?
__________________
[email protected]
HITCEL
  #6 (permalink)  
Antiguo 06/09/2015, 17:09
 
Fecha de Ingreso: agosto-2015
Ubicación: Rosario - Argentina
Mensajes: 418
Antigüedad: 4 años, 3 meses
Puntos: 11
Respuesta: Evitar Inyecciones SQL

Cita:
Iniciado por pateketrueke Ver Mensaje
Pues definitivamente tu sitio es vulnerable:


Sólo intente iniciar sesión y coloqué comillas simples en ambos campos.
Y como hago que deje de ser vulnerable..
es decir.. quiero evitar que se salten el login, que manejen consultas malintencionadas en campos input.. y bueno, en generar quisiera hacerlo lo mas seguro posible.

Etiquetas: inyecciones, mysql, select, sql
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 10:43.