07/07/2005, 21:14
|
 | | | Fecha de Ingreso: enero-2005 Ubicación: Ciber Espacio
Mensajes: 2.180
Antigüedad: 19 años, 3 meses Puntos: 11 | |
| Esto tb sucede
$sql="select * from usuarios where login=$login and clave=$clave";
cuando entro como usuario a una cuenta y pongo esto en la contraseña ' or '1'='1
entro al sistemas porque la cadena queda asi
$sql="select * from usuarios where login=jose14 and clave= or 1=1 ";
y como es verdadero (true)
enro al sistemas
esos e arregla usando esto
$clave=str_replace("x","'",$clave)
algo asi...
Entro |