Hola que tal, gracias por tu respuesta apreciable Triby, bueno como habrás visto no tengo mucha experiencia programando y al ver tu mensaje me puse a buscar información, encontrando esto en la web:
Cita: Imaginad una web con este tipo de enlace:
http://www.soyunaweb.com/soyunapagin...?id_pregunta=2
Es muy común encontrar este tipo de enlaces en casi cualquier web y también es muy común pensar que detrás de este enlace, existe una sentencia SQL que determina que mostraremos o el contenido de dicha página, por ejemplo.
El formato de la sentencia SQL que podría estar detrás de ese enlace sería algo parecido a esto:
“SELECT * FROM pregunta WHERE id_pregunta=” + parámetro
Viendo el enlace, es lógico presuponer que la tabla se llame pregunta y el campo id_pregunta. Este podría ser un fallo de seguridad . Al diseñar Webs con ese tipo de enlaces, debemos intentar asegurarnos de que el nombre del parámetro no sea tan explicativo. Simplemente con haber puesto id_p se soluciona el problema, por ejemplo, acabándose así nuestro ataque de Blind SQL Injection. (Salvo utilizar la fuerza bruta, por supuesto).
Estaba diseñando lo siguiente:
Teniendo el siguiente enlace:
Cita: paquetesturisticos.php?en=peru&paqueteturistico=Cu scoPunoMacchuPicchu&continente=america&id=3#conten ido
y el requerimiento:
Cita: $conexion = mysqli_connect("localhost","root","","base_agencia ");
mysqli_set_charset($conexion,"utf8");
$peticion="SELECT * FROM '.$_GET['continente'].' WHERE nombrePaquete='.$_GET['paqueteturistico'].'pais='.$_GET['en'].' Limit 1";
$resultado=mysqli_query($conexion,$peticion);
while($fila=mysqli_fetch_array($resultado)){
$peticion2="SELECT * FROM imagenesamerica WHERE idPaqueteTuristico=".$fila['idPaqueteTuristico'];
$resultado2=mysqli_query($conexion,$peticion2);
while($fila2=mysqli_fetch_array($resultado2)){
echo'<li>';
echo' <a class="fancybox" href="images/imagenesCiudades/'.$fila['continente'].'/'.$fila['pais'].'/'.$fila['nombrePaquete'].'/'.$fila2['imagenes'].'.jpg"
data-fancybox-group="gallery" title=""><img src="images/imagenesCiudades/'.$fila['continente'].'/'.$fila['pais'].'/'.$fila['nombrePaquete'].'/'.$fila2['imagenes'].'.jpg"
/></a>';
echo' <p class="caption">'.$fila['nombrePaquete'].'</p>';
echo'</li>';
}
echo' </ul>';
echo'</div>';
echo'</div>';
echo'<!--</banner>-->';
echo'<!--<item-box>-->';
echo'<div class="item-box">'.$fila['detallesDelPaquete'];
echo' <div class="more-info">'.$fila['masInfo'].'</div>';
Según lo leído en el texto extraído de la web, la solución a mi problema podría ser renombrar mis tablas con nombres mucho menos predictibles además de cambiar los parámetros. Sería eso suficiente?
Me aconsejarías alguna solución?
Gracias