05/12/2007, 07:06
| ||||
| ||||
| inyeccion de sql hola maestros gracias a un mal desarrollo me di cuenta que alguien puede inyectar codigo sql directamente a una query. pero lo que no se es el alcance de lo que se puede hacer con esto. SELECT * FROM user,depto WHERE usuario='$login' AND clave='$clave' se puede eliminar la una tablas? se puede averiguar la clave? Saludos.
__________________ "Cuando se adelanta un oponente, enfréntalo y salúdalo; si intenta retroceder, déjalo seguir su camino" |
|
05/12/2007, 17:05
| ||||
| ||||
| Re: inyeccion de sql existen varias formas de corregir muchas inyecciones funciones como addstripslashes o mysql_real_escape_string() son una de ellas otra forma de ver si esta bien los resultados es tmar los datos de entrada usuario y contrasñea, hacer la consulta y comprarar el resultado con los originales si hubo una inyeccion estos deberian ser distintos saludos |
