Tema: Problema con hacker escapade mysql_real_scape_string usa de nombre - TRUE.
Ver Mensaje Individual
  #22 (permalink)  
Antiguo 13/04/2011, 20:49
Avatar de _ssx
_ssx
 
Fecha de Ingreso: mayo-2003
Ubicación: mX
Mensajes: 683
Antigüedad: 21 años
Puntos: 60
Respuesta: Problema con hacker escapade mysql_real_scape_string usa de nombre - TRUE.
Tienes graves problemas de seguridad.

1.- JAMAS hagas una comparación de usuario y contraseña con un AND en una consulta SQL.

En ves de eso, verifica primero el usuario solamente y si existe ahora si procede a verificar su contraseña..

2.- Tu problema radica en que guardas la sessión en una cookie que facilmente se puede obtener con un cookie catcher y hacerte un delicioso XSS

Ejemplo.

http://www.youtube.com/watch?v=WZCXIrW0xZ0
__________________
Escribe tu código de forma que refleje, y saque a relucir,lo mejor de tu carácter personal
www.oscararzola.com/blog
Principios de un programador