consulta md5

matt_1985 · #1 (**permalink**) 05/12/2012, 13:18

Tengo un script para comprobar si usuario y contraseña, intento agregarle md5 pero me arroja algunos errores , que hacen referencia a la funcion para evitar la inyeccion de sql:

Código PHP:

  $query_login = sprintf("SELECT    tb_usuario.usuario, tb_usuario.password, tb_usuario.ip     
                        FROM tb_usuario WHERE usuario = %s AND password = %s", 
                        GetSQLValueString($_POST['usuario'], "text"), 
                        GetSQLValueString(md5($_POST['password'], "text")));

y esta es mi otra funcion para evitar la inyeccion de sql .

Código PHP:

  if (!function_exists("GetSQLValueString")) { 
    function GetSQLValueString($theValue, $theType, $theDefinedValue = "", $theNotDefinedValue = "") { 
        if (PHP_VERSION < 6) { 
            $theValue = get_magic_quotes_gpc() ? stripslashes($theValue) : $theValue; 
        } 
        $theValue = function_exists("mysql_real_escape_string") ? mysql_real_escape_string($theValue) : mysql_escape_string($theValue); 
        switch ($theType) { 
            case "text": 
                $theValue = ($theValue != "") ? "'" . $theValue . "'" : "NULL"; 
                  break;     
               case "long": 
            case "int": 
                 $theValue = ($theValue != "") ? intval($theValue) : "NULL"; 
                break; 
            case "double": 
                $theValue = ($theValue != "") ? doubleval($theValue) : "NULL"; 
                break; 
            case "date": 
                $theValue = ($theValue != "") ? "'" . $theValue . "'" : "NULL"; 
                break; 
            case "defined": 
                $theValue = ($theValue != "") ? $theDefinedValue : $theNotDefinedValue; 
                break; 
        } 
    return $theValue; 
    } 
}

Saludos

Reedyseth · #2 (**permalink**) 05/12/2012, 13:22

Tal vez puedes usar PDO lingando(Binding) los valores, PDO ya viene preparado para evitar la inyección y solo tienes que usar en enlace de datos.

Ribon · #3 (**permalink**) 05/12/2012, 13:26

En la siguiente linea

Código PHP:

Ver originalGetSQLValueString(md5($_POST['password'], "text")));

estás mándandolo el parámetro "text" a la función md5

cambiala por esto

Código PHP:

Ver originalGetSQLValueString(md5($_POST['password']), "text"));

saludos.

matt_1985 · #4 (**permalink**) 05/12/2012, 13:38

Muchas gracias por sus comentarios Ribon funciono perfecto! , Reedyseth en el futuro empezare a utilizar PDO en mis nuevos proyectos.

Saludos