Tema: SOS SQL inyection
Ver Mensaje Individual
  #10 (permalink)  
Antiguo 27/01/2012, 05:11
apadravya
 
Fecha de Ingreso: enero-2012
Mensajes: 56
Antigüedad: 12 años, 3 meses
Puntos: 1
Respuesta: SOS SQL inyection
a ver... no me queda nada claro... mi formulrio está en una pagina php:

Código PHP: 
Ver original
  1. <head>
  2.     Blablablablablabla
  3.     </head>
  4.     <?php
  5.      
  6.      
  7.     echo '<center>';
  8.     if (!$_POST) {
  9.         ?>
  10.        
  11.      
  12.         <center><img src="img/banner.jpg" width="600" height="200" /></center>
  13.        
  14.         <div align="center" style="background-image:url(img/marco.png); background-repeat:no-repeat; background-position:center; width: 250px; height: 600px">
  15.         <form method="post" action="agregar.php" />
  16.         <h1><b><p><br /></p>Colabora:</b></h1>
  17.         Titulo: <input name="titulo" type="text" value="Titulo de la obra" maxlength="80" onkeypress="validaCaractaer(event);"/><p></p>    
  18.         Estreno: <input name="fecha" type="text" value="Año"  maxlength="4" /><p></p>
  19.         Sinopsis: <input name="sinopsis" type="text" value="No nos cuentes el final!"  maxlength="250" /><p></p>
  20.         Licencia: <input name="licencia" type="text" onclick="alert('¡Se legal, GRACIAS!')" value="Derechos"  maxlength="20"/><p></p>
  21.         Tu Nick: <input name="colaborador" type="text" value="anonymous"  maxlength="10" /><p></p>
  22.         Genero 1: <select name="genero1">
  23.           <option selected="selected">Selecciona uno</option>
  24.           <option value="Acción">Acción</option>
  25.           <option value="Animación">Animación</option>
  26.           <option value="Artes marciales">Artes marciales</option>
  27.           <option value="Aventuras">Aventuras</option>
  28.           <option value="Belico">Belico</option>
  29.           <option value="Biográfica">Biográfica</option>
  30.           <option value="Ciencia ficcion">Ciencia ficcion</option>
  31.           <option value="Familiar">Familiar</option>
  32.           <option value="Comedia">Comedia</option>
  33.           <option value="Corto">Corto</option>
  34.           <option value="Crimen">Crimen</option>
  35.           <option value="Deporte">Deporte</option>
  36.           <option value="Drama">Drama</option>
  37.           <option value="Erótico">Erótico</option>
  38.           <option value="Histórico">Histórico</option>
  39.           <option value="Infantil">Infantil</option>
  40.           <option value="Musical">Musical</option>
  41.           <option value="Periodismo">Periodismo</option>
  42.           <option value="Suspense">Suspense</option>
  43.           <option value="Terror">Terror</option>
  44.           <option value="Thriller">Thriller</option>
  45.           <option value="Western">Western</option>
  46.           <option value="Zombies">Zombies</option>
  47.         </select><p></p>
  48.         Genero 2: <select name="genero2">
  49.           <option selected="selected">Selecciona uno</option>
  50.           <option value="Acción">Acción</option>
  51.           <option value="Animación">Animación</option>
  52.           <option value="Artes marciales">Artes marciales</option>
  53.           <option value="Aventuras">Aventuras</option>
  54.           <option value="Belico">Belico</option>
  55.           <option value="Biográfica">Biográfica</option>
  56.           <option value="Ciencia ficcion">Ciencia ficcion</option>
  57.           <option value="Familiar">Familiar</option>
  58.           <option value="Comedia">Comedia</option>
  59.           <option value="Corto">Corto</option>
  60.           <option value="Crimen">Crimen</option>
  61.           <option value="Deporte">Deporte</option>
  62.           <option value="Drama">Drama</option>
  63.           <option value="Erótico">Erótico</option>
  64.           <option value="Histórico">Histórico</option>
  65.           <option value="Infantil">Infantil</option>
  66.           <option value="Musical">Musical</option>
  67.           <option value="Periodismo">Periodismo</option>
  68.           <option value="Suspense">Suspense</option>
  69.           <option value="Terror">Terror</option>
  70.           <option value="Thriller">Thriller</option>
  71.           <option value="Western">Western</option>
  72.           <option value="Zombies">Zombies</option>
  73.         </select><p></p>
  74.         Enlace: <input name="link" type="link" value="Ver pelicula online" maxlength="100" /><p></p>
  75.         Enlace: <input name="descarga" type="link" value="Descargar pelicula" maxlength="100" /><p></p>
  76.        
  77.         <p>
  78.           <input type="submit" value="Enviar" />
  79.          
  80.           <input name="Borrar" type="reset" />
  81.           <br />
  82.           </p>
  83.     </div>
  84.        
  85.        
  86.         <?php
  87.      
  88.     }else{
  89.        
  90.        
  91.        
  92.         $ssql = "insert into peliculas (titulo, fecha, sinopsis, licencia, colaborador, genero1, genero2, link, descarga) values ('" . $_POST["titulo"] . "', '" . $_POST["fecha"] . "', '" . $_POST["sinopsis"] . "', '" . $_POST["licencia"] . "', '" . $_POST["colaborador"] . "', '" . $_POST["genero1"] . "', '" . $_POST["genero2"] . "', '" . $_POST["link"] . "', '" . $_POST["descarga"] . "')";
  93.        
  94.        
  95.         $conexion = mysql_connect("xxxxxx","xxxxxxxx","xxxxxxxx");
  96.     mysql_select_db ("xxxxxxxxxx",$conexion);
  97.         if(mysql_query ($ssql, $conexion)){
  98.             echo "<center><img src='img/banner.jpg'<p><br></p><h1>Datos agregados. ¡Muchas gracias!</h1><center>";
  99.            
  100.         }else{
  101.             echo "Error";
  102.             echo mysql_error($conexion);
  103.         }
  104.     }
  105.        
  106.     echo '</center>';
  107.         ?>



la sentencia sql que muestra los datos esta en otra pagina:

Código PHP: 
Ver original
  1. <body>
  2.  
  3. <center>
  4. <img src="img/banner.jpg" width="600" height="200" />
  5. <p></p>
  6.   <?php
  7.   
  8. $conexion = mysql_connect("XXXXXXX","XXXXXX","XXXX"); 
  9. mysql_select_db ("XXXXXX",$conexion);
  10.  
  11. $registros = mysql_query ("select * from `peliculas`", $conexion);
  12.  
  13. while ($fila = mysql_fetch_array($registros)) {
  14.     echo "<div id='fondo' style='border: 0px  yellow solid; width: 600px; padding: 10px;'>";
  15.     echo "<p></p>Titulo: <b>";
  16.     echo $fila["titulo"];
  17.     echo "</b> ------ Año: <b>";
  18.     echo $fila["fecha"];
  19.     echo "<p></p></b>Licencia: ";
  20.     echo $fila["licencia"];
  21.     echo "<br>Genero: ";
  22.     echo $fila["genero1"];
  23.     echo ", ";
  24.     echo $fila["genero2"];
  25.     echo "<p></p> Sinopsis: ";
  26.     echo $fila["sinopsis"];
  27.     echo "<p></p> Colaborador: ";
  28.     echo $fila["colaborador"];
  29.     echo "<br> Ver Online: ";
  30.     echo '<a href="' . $fila["link"] . '"target="_blank">'; 
  31.     echo $fila["link"];
  32.     echo '</a>';
  33.     echo "<br> Descargar: ";
  34.     echo '<a href="' . $fila["descarga"] . '"target="_blank">'; 
  35.     echo $fila["descarga"];
  36.     echo '</a>';
  37.     echo "<p></p>";
  38.     echo "</div>";
  39. }
  40. ?>
  41.   
  42. </center></body>

donde tendria que meter este codigo?

Código PHP: 
Ver original
  1. $VALOR = strip_tags(trim($_POST['VALOR']));
  2.      
  3.     mysql_query("SELECT * FROM tabla WHERE valor = % ", mysql_real_escape_string(stripslashes($VALOR)));


en los inputs o en las sentencias sql?
Última edición por apadravya; 27/01/2012 a las 05:24