Una ayudita con SQL injection

Iniciado por Ruyle, 1 Julio 2005, 00:39 AM

0 Miembros y 1 Visitante están viendo este tema.

Ruyle

Hola buenas, no tengo mucha idea de sql ijection, y me gustaria aprender algo, por eso ando mirando este codigo:

Citar// LOGIN DE USUARIOS:
if ( $_GET[login] == 1 ) {

  if ( ($_POST[miembro_login]=="") OR ($_POST[miembro_password]=="")) {
    echo ("<script>window.open('index.php?mod=Miembros&op=login&error=1','_self')</script>");
  }
 
  $sql = mysql_query("SELECT * FROM ".$pref."_miembros where Login='$_POST[miembro_login]'",$conecta);
  $row = mysql_fetch_array($sql);
  $idioma_miembro = "$row[Idioma]";
  $pwd = md5($_POST[miembro_password]);
  if ($_POST[miembro_login]==$row["Login"] && $pwd==$row["Password"]) {

   session_name('GT_Miembro');
   session_start();
   $_SESSION[miembro_login]=$_POST[miembro_login];
   
   mysql_free_result($sql);
   $nivel_miembro = "5";
   
   $hoyfecha=date(Y)."-".date(m)."-".date(d);   
   mysql_query("UPDATE ".$pref."_miembros SET ultimoAcceso='$hoyfecha' WHERE Login='$_POST[miembro_login]'", $conecta);

   mysql_close($conecta);

Notais algo raro que se pueda hacer o algo?
Gracias
What ???

el-brujo

limpia las variables antes de hacer la query.


Seguridad con php a nivel de programador:

Evitar inyección de SQL en PHP
http://foro.elhacker.net/index.php/topic,32862.0

BLOQUEO DE ATAQUES XSS Y SQL INJECTION A PAGINAS WEB PHP BAJO HOSTING
http://foro.elhacker.net/index.php/topic,45693.0.html

¿Cómo capturar errores en php?
http://foro.elhacker.net/index.php/topic,31656.0

Seguridad con php a nivel de administrador:

Seguridad en PHP
http://foro.elhacker.net/index.php/topic,19903.0.html