Hola buenas, no tengo mucha idea de sql ijection, y me gustaria aprender algo, por eso ando mirando este codigo:
Citar// LOGIN DE USUARIOS:
if ( $_GET[login] == 1 ) {
if ( ($_POST[miembro_login]=="") OR ($_POST[miembro_password]=="")) {
echo ("<script>window.open('index.php?mod=Miembros&op=login&error=1','_self')</script>");
}
$sql = mysql_query("SELECT * FROM ".$pref."_miembros where Login='$_POST[miembro_login]'",$conecta);
$row = mysql_fetch_array($sql);
$idioma_miembro = "$row[Idioma]";
$pwd = md5($_POST[miembro_password]);
if ($_POST[miembro_login]==$row["Login"] && $pwd==$row["Password"]) {
session_name('GT_Miembro');
session_start();
$_SESSION[miembro_login]=$_POST[miembro_login];
mysql_free_result($sql);
$nivel_miembro = "5";
$hoyfecha=date(Y)."-".date(m)."-".date(d);
mysql_query("UPDATE ".$pref."_miembros SET ultimoAcceso='$hoyfecha' WHERE Login='$_POST[miembro_login]'", $conecta);
mysql_close($conecta);
Notais algo raro que se pueda hacer o algo?
Gracias
limpia las variables antes de hacer la query.
Seguridad con php a nivel de programador:
Evitar inyección de SQL en PHP
http://foro.elhacker.net/index.php/topic,32862.0
BLOQUEO DE ATAQUES XSS Y SQL INJECTION A PAGINAS WEB PHP BAJO HOSTING
http://foro.elhacker.net/index.php/topic,45693.0.html
¿Cómo capturar errores en php?
http://foro.elhacker.net/index.php/topic,31656.0
Seguridad con php a nivel de administrador:
Seguridad en PHP
http://foro.elhacker.net/index.php/topic,19903.0.html