$sql = "SELECT * FROM (VARIABLE) WHERE...COMO PONGO UNA VARIBALE AHI ?

jival · #1 (**permalink**) 31/03/2009, 12:32

HOLA A TODOS NECESITO AYUDA CON ESTE CODIGO

TENGO UN FORM CON 2 CAMPOS USUARIO Y PASS, ADEMAS DE ESO LA GENTE PUEDE ESCOGER SI ES PROFESOR O ES ALUMNO PARA VER EN CUAL TABLA DE LA BASE DE DATOS BUSCAR

// CON ESTA VARIABLE RECOJO SI ES PROFESOR O ALUMNO

$tipo = $_POST["tipo"];

Código PHP:

  $ssql = "SELECT * FROM $tipo WHERE usuario='".$_POST['usuario']."' and pass='".$_POST['pass']."'";

PERO NO ME FUNCIONA , IMAGINO QUE NO ESTOY PONIENDO LA VARIBALE CORRECTAMENTE.

COMO DEBE HACERSE ? GRACIAS.

jfl_freak · #2 (**permalink**) 31/03/2009, 12:36

Ya probaste dar un echo en

Código PHP:

  $tipo

para ver si se esta enviando la variable??

Saludos

David · #3 (**permalink**) 31/03/2009, 12:38

En principio es correcto, lo que debes verificar es que el contenido recibido por $_POST['tipo'] sea realmente el nombre de la tabla.

Además, no es recomendable hacerlo de esa forma, mejor, haz dos opciones y con un switch revisa una tabla u otra. De lo contrario, estarías permitiendo consultas a cualquier tabla de tu base de datos.

jival · #4 (**permalink**) 31/03/2009, 12:43

si , si la recoje bien

dannce4life · #5 (**permalink**) 31/03/2009, 12:44

La variable tipo está bien definida SOLAMENTE si se selecciona desde un menú desplegable, ya que si el usuario lo ingresa a través de un campo de texto generaría un error por motivos lógicos.

Por otro lado, pareciera que no tienes encriptado el PASS, ya que lo pasas directamente.
Eso no es recomendable por motivos de seguridad.

Respondiendo a tu pregunta:

Código PHP:

  $clase   = $_POST['tipo']; 
$usuario = $_POST['usuario']; 
$clave   = sha1($_POST['pass']); 
 
$ssql = "select * from {$clase} where usuario = '{$usuario}' and pass = '{$clave}';";

en la linea

Código:

$clave   = sha1($_POST['pass']);

donde dice sha1, es la funcion encriptadora de calves. Si aplicas esto, tu sitio será mas seguro para los usuarios, y para ti

the_web_saint · #6 (**permalink**) 31/03/2009, 12:45

Código php:

Ver original$ssql = "SELECT * FROM ".$tipo." WHERE usuario='".$_POST['usuario']."' and pass='".$_POST['pass']."'";

dannce4life · #7 (**permalink**) 31/03/2009, 12:51

Cita:

Iniciado por the_web_saint

Código php:

Ver original$ssql = "SELECT * FROM ".$tipo." WHERE usuario='".$_POST['usuario']."' and pass='".$_POST['pass']."'";

no es necesaria la concatenación en comillas dobles :)

jival · #8 (**permalink**) 31/03/2009, 13:20

muchas gracias a todos por sus respuesta ya lo solucione, una cosa dannce4life me puedes explicar mas acerca de ese $clase = sha1($_POST['pass']); sha1() que hace o para que sirve.

dannce4life · #9 (**permalink**) 31/03/2009, 13:28

La función SHA1 lo que permite, es la encriptación de cadenas.

funciona parecido a MD5, pero ésta usa 160 bits de encriptacion, la cual lo hace mas seguro.

este tipo de funciones se las usa habitualemte en los campos de contraseñas. En primer medida para asegurar la privacidad del usuario, y en segunda medida para proteger las consultas de inyecciones sql.

jival · #10 (**permalink**) 31/03/2009, 13:39

muchas gracias , la manera correcta de usarlo es ponerlo asi

sha1($_POST['pass']);

dannce4life · #11 (**permalink**) 31/03/2009, 13:45

mira, para usarlo, primero, debes insertar la contraseña encriptada en la base de datos. para hacerlo, puedes usar el script anterior, pero con la consulta de la siguiente forma:

Código php:

Ver original$clase   = $_POST['tipo']; 
$usuario = $_POST['usuario']; 
$clave   = sha1($_POST['pass']); 
 
$ssql = "insert into {$clase} (usuario, pass) values('{$usuario}','{$clave}');";

y para el inicio de sesión como está arriba.

un saludo. espero te haya servido

jival · #12 (**permalink**) 31/03/2009, 14:15

si me a servido mucho amigo, muchas gracias.

dannce4life · #13 (**permalink**) 31/03/2009, 14:16

un placer :D