Como probar MySQL injection

Iniciado por encurto, 22 Noviembre 2008, 15:04 PM

0 Miembros y 1 Visitante están viendo este tema.

encurto

Buenas, estoy haciendo un trabajo sobre MySQL injection y para ello he hecho un simple ejemplo que consta de un formulario que tiene un input text donde introducimos un nombre de usuario. Cuando le doy al boton llamo a un php que ejecuta una consulta mysql

"SELECT * FROM Usuarios WHERE login = '{$_POST['login']}'"

Ahora lo que quiero hacer es demostrar el tipico ejemplo de que si en el input text escribo el siguiente login  algo' OR '1'='1 voy a poder loguearme siempre.
Mi problema es que al imprimir $_POST['login'] me devuelve esto: algo\' OR \'1\'=\'1 por lo que la inyeccion sql no me funciona.

¿Sabeis como puedo evitar que php me incruste el caracter \' ?

Gracias!

:ohk<any>

Pues eso te sale porque estas usando la función addslashes

Busca donde utilizas la función y anulalo o comentalo y ya.
Y es que a veces pienso que si no estuviera loco no podría salir adelante.
Lo que no se es capaz de dar, en realidad no se posee, uno es poseído por ello.

luiggy2

También pueden ser qué tenga activadas las comillas mágicas en php.ini


Saludos!
" Las grandes ideas suelen salir la mayoría de veces de grandes estupideces "