Tema: como prevenir esta inyección 'or '1'='1
Ver Mensaje Individual
  #12 (permalink)  
Antiguo 05/03/2016, 23:16
wilson_romero
 
Fecha de Ingreso: diciembre-2015
Mensajes: 369
Antigüedad: 8 años, 4 meses
Puntos: 4
Respuesta: como prevenir esta inyección 'or '1'='1
gnzsoloyoya puede entender lo que me decias lo encontre en esta web es que no me dijit donde poner el codigo y de verdad yo no entiende ese manual los ejemplos super raros no lo entiendo de verdad y me dices que tampoco esto no es muy seguro que no esta seguro de ataques.
Como te proteges tu ya que esto que se le agrega al codigo no estan seguro como es mejor me gustaria saber tieen alguan web que no sea en china para mi ;) :P : )

ESTE ES EL CÓDIGO SI ALGUIEN LO NECESITA
agregar en la petition (consulta msql) de esta froma con mysql_real_escape_string

Código PHP: 
Ver original
  1. $proceso =  mysqli_query($conexion, "SELECT * FROM usuarios WHERE usuario='".mysql_real_escape_string($usuario)."' AND contrasena='".mysql_real_escape_string($contrasena)."'");


Código PHP: 
Ver original
  1. <?php
  2.  
  3. session_start(); 
  4.  
  5. $usuario = $_POST['usuario'];
  6. $contrasena = $_POST['contrasena'];
  7.  
  8. include("conexion.php");
  9.  
  10. $proceso =  mysqli_query($conexion, "SELECT * FROM usuarios WHERE usuario='".mysql_real_escape_string($usuario)."' AND contrasena='".mysql_real_escape_string($contrasena)."'");
  11.  
  12. //$proceso = $conexion->query("SELECT * FROM usuarios WHERE usuario='$usuario' AND contrasena='$contrasena'"); //$mysqli->query () dice que mysql ejecute el query
  13.  
  14.     if($resultado = mysqli_fetch_array($proceso))
  15.     {
  16.         $_SESSION['u_usuario'] = $usuario;
  17.         header("location: sesion.php");
  18.         
  19.     }
  20.     else 
  21.     {
  22.         echo "calve erronea" ;
  23.     }
  24.  
  25. ?
Última edición por wilson_romero; 05/03/2016 a las 23:28