Inyeccion sql para mi pagina web

qazwsxedc · #1 (**permalink**) 01/03/2010, 09:23

Hola.
Mi problema es como hacer para que si alguien escribe en la url mi direccion de pagina web no le deje entrar.
Tengo esto:

Al entrar, en el primer php, debes de crear una variable $_SESSION['entrar'] y le indicas cual es el numero que
quieres, en caso de no encontrar ese numero en las demas paginas no podra entrar para verlo si no se ha registrado. Simplemente, creas la variable en la primera php, y en el resto de php's pones lo siguiente :

if( $_SESSION['entrar']!=2)
{
header('Location: http://www..../yo/primero.html');
}

y luego cuando hagas el logout, o lo borras, o haces como yo, lo inicializas a 0, de esta manera no puede entrar.

-----------------------------------------

<? if (!isset($_SESSION)) {
session_start();
}

$_SESSION['entrar'] = 0;
unset($_SESSION['alumno']);
unset($_SESSION['prof']);

header("location: primero.html");
?>

es que no lo entiendo muy bien,me lo podeis explciar eso de inyeccion sql??

Death_Empire · #2 (**permalink**) 01/03/2010, 09:37

inyeccion sql ?¿?¿

lo que dice ahi es que tienes una pagina de login donde ingresas el nombre deusuario y la contraseña una ves que se verifica que el usuario existe e ingreso bien la contraseña creas una variable de session y le das un valor ej: $_SESSION['entrar'] = 1;
entonces en todas las demas paginas de tu sitio haces la consulta
if($_SESSION['entrar'] == 1)
{
muestras la pagina
}
else
{
echo "Debe autentificarse para ver este sitio";
}

hector2c · #3 (**permalink**) 01/03/2010, 09:38

aqui puedes información de QUE ES INYECCION SQL y COMO EVITARLA... bueno no se que viene con lo de SESSion

en caso uses SESSION, recuerda usar session_start(); al inicio de tu página...

Vun · #4 (**permalink**) 01/03/2010, 09:50

Aqui te dejo otra busqueda en esta misma web:
http://www.forosdelweb.com/search.ph...eb.com%2F#1370

hector2c · #5 (**permalink**) 01/03/2010, 09:53

Vun, jejeje, el enlaZe que mandas, muestra el formulario de busqueda de FDW XD

qazwsxedc · #6 (**permalink**) 01/03/2010, 10:18

me podeis decir exactamente que deberia poner si tengo un php cuando valido nombre y contraseña que es este:

<?
session_start();

$nombre1=$_POST['nombre'];
$contra1=$_POST['contra'];
/* Datos de acceso para la conexión con el servidor MySQL */
$enlace=mysql_connect("local","my","a");
$bd ="a"; // Elección de la base de datos que se utilizará en el servidor
$bds = mysql_select_db($bd, $enlace); // seleccionar la bd

$sql = "select nombre,password from profesores";
$resultado=mysql_query($sql,$enlace);
$sql2 = "select * from alumnos";
$resultado2=mysql_query($sql2,$enlace);

$_SESSION['posteo']=$nombre1;
$_SESSION['posteo2']=$nombre1;

while ($registro=mysql_fetch_array($resultado))
{
if ($nombre1 == $registro['nombre'] and $contra1 == $registro['password'] )
{

$_SESSION['profesor'] = $registro['nombre'];
$_SESSION['contra'] = $registro['contra'];

header('Location: http://www./a/profe.php');
exit;
}
else
{
header('Location: http://www..com/a/hola.php?"');
}
}

while ($registro2=mysql_fetch_array($resultado2))
{
if ($nombre1 == $registro2['nombre'] and $contra1 == $registro2['password'] )
{
$_SESSION['alumno'] = $nombre1;
header('Location: http://www..com/a/alumno.php');
exit;
}
else
{
header('Location: http://www..com/a/hola.php?"');
}
}

?>