Como probar MySQL injection

Iniciado por encurto, 22 Noviembre 2008, 15:04 PM

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario

encurto

22 Noviembre 2008, 15:04 PM
Buenas, estoy haciendo un trabajo sobre MySQL injection y para ello he hecho un simple ejemplo que consta de un formulario que tiene un input text donde introducimos un nombre de usuario. Cuando le doy al boton llamo a un php que ejecuta una consulta mysql

Código [Seleccionar]
"SELECT * FROM Usuarios WHERE login = '{$_POST['login']}'"

Ahora lo que quiero hacer es demostrar el tipico ejemplo de que si en el input text escribo el siguiente login  algo' OR '1'='1 voy a poder loguearme siempre.
Mi problema es que al imprimir $_POST['login'] me devuelve esto: algo\' OR \'1\'=\'1 por lo que la inyeccion sql no me funciona.

¿Sabeis como puedo evitar que php me incruste el caracter \' ?

Gracias!

:ohk<any>

#1
22 Noviembre 2008, 15:59 PM
Pues eso te sale porque estas usando la función addslashes

Busca donde utilizas la función y anulalo o comentalo y ya.
Y es que a veces pienso que si no estuviera loco no podría salir adelante.
Lo que no se es capaz de dar, en realidad no se posee, uno es poseído por ello.

luiggy2

#2
23 Noviembre 2008, 15:45 PM
También pueden ser qué tenga activadas las comillas mágicas en php.ini


Saludos!
" Las grandes ideas suelen salir la mayoría de veces de grandes estupideces "
Imprimir
Ir Arriba Páginas1
Acciones del Usuario