Problema con inicio de sesión consulta

Sucket · #1 (**permalink**) 27/06/2014, 23:12

Bueno estaba leyendo sobre mysqli_real_escape_string y como me interesa más la seguridad encontre un código de la página de phpnet

http://www.php.net/manual/es/function.mysql-real-escape-string.php

Pero el problema es qué una vez ya colocado mi codigo en mi sistema al tratar de iniciar sesión me devuelve error que el email y contraseña no coinciden ¿?

Código PHP:

Ver originalif($_POST['action'] == 'user_login')
{
$post_email = htmlentities(addslashes(mysqli_real_escape_string($_POST['email']));
$post_password = htmlentities(addslashes(mysqli_real_escape_string(crypt($_POST['password']));
     mysqli_real_escape_string($sql);
     
     $sql = sprintf("SELECT * FROM users WHERE mail='%s' AND password='%s'",
     mysqli_real_escape_string($post_email),   
     mysqli_real_escape_string($post_password));
     
     if($row = mysqli_fetch_array($sql)) 
     {  
     $_SESSION['id'] = mysqli_real_escape_string($row['id']);
     $_SESSION['username'] = mysqli_real_escape_string($row['username']);
 
     echo 'OK'; 
     }
     else 
     {
     $auth_error = '<div id="notification_error"><span><img src="images/icon_error.gif"> El e-mail y/o contraseña no coinciden.</div></span>';
 
     echo $auth_error;
      
    }
}

Código de la página de phpnet

Código PHP:

Ver original<?php
// Conexión
$enlace = mysql_connect('anfitrión_mysql', 'usuario_mysql', 'contraseña_mysql')
    OR die(mysql_error());
 
// Consulta
$consulta = sprintf("SELECT * FROM users WHERE user='%s' AND password='%s'",
            mysql_real_escape_string($usuario),
            mysql_real_escape_string($contraseña));
?>

solo copie la consulta de ese código y lo adapte al mio, pero no se que sucede...

Alexis88 · #2 (**permalink**) 28/06/2014, 00:17

Para empezar, basta con que una y solo una vez realices la desinfección de los datos, no por cada vez que vayas a utilizarlos. Por otro lado, veo que encriptas la contraseña antes de hace la consulta, quizá ahí está el error pues el valor encriptado será distinto por cada vez que utilices la función crypt.

Por ejemplo:

Código PHP:

Ver original$string = 'hola';
echo crypt($string);
echo crypt($string);
echo crypt($string);
echo crypt($string);
echo crypt($string);

Imprime lo siguiente:

Código HTML:

Ver original$6$39LhNARSOo8k$YyNVRt129lGZQsyJaEW8SNZLNcNI7b/NRk7/uE3vKwN./I/3..nFLP0rpvUzHYQTIEbDANyGR7XJ9musknc1p0
$6$IF/yGtWb/oQ/$NWQt1Qx26ZkCyRBqss.Vlrob6WLnmkfKEaP9RV4KgNxvSnn6MsPg3ADnmDa5NhaKievJ23Am89fmtN452jygy0
$6$b4KhbviunMgO$mDNDKw9NQU337tGZnavM0Vmm2uM0uFZkrpck5JBub/xMXvWkbimnKwWBwgE500HO0.yiXjxKGuUwCqa/MMrtO/
$6$85H16r9tk1fi$Csizfyj5qBwI9HJDytkUiLb8JRLvu7riAsa1iInXkT.5LW9JlHd44sHDYL.qmV9ur/xXbaLGw8HJh2QvefRtA0
$6$qCTmMZstRk5A$pOmm1FKRZORDHkUeK56zv4dCegn9qlgND09xByVO1J.mCfPU3FPhN5nyLHox3IrF3OYXI42CkM7EctIAqZ80c/

Todas las cadenas generadas son distintas a pesar de que la cadena base es la misma. Ve la manera de no tener que utilizar esa función para hacer la consulta.

Saludos