Injeccion sql

Iniciado por patilanz, 27 Agosto 2013, 09:37 AM

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario

patilanz

27 Agosto 2013, 09:37 AM
Hola tengo el siguiente codigo:
Código (php) [Seleccionar]
if(!$errores){
        $con=mysql_connect($h,$u,$p,$b) or die(mysql_error());
        $b=mysql_select_db($b,$con);
        $select=mysql_query('SELECT * FROM registro_c WHERE user="'.trim($_POST['user']).'"') or die(mysql_error());
        if($select){
            $select=mysql_fetch_array($select);
            if($select['pw']!=trim(md5($_POST['pw']))){
                $errores[]='User o pass incorrectos';
            }
        }else{
            $errores[]='User o pass incorrectos';   
        }
    }
$errores esta vacio al principio.

Alguien me puede ayudar a injectarme a mi mismo ?? Es para aprender, ya que lo he intentado y no se me ocurre como .

:ohk<any>

#1
27 Agosto 2013, 15:49 PM
Sabes un poco de inyecciones SQL?.
WHK y otros usuarios lo explican bastante y hay mucha información en "Nivel web".
Antes de meter ese $_POST['user'] deberías limpiar lo que recibes, no solo acortar los espacios en blanco de cada lado.
Antes se usaba los addslashes, html_special_chars, entre otros...
Pero ahora WHK a posteado una función para limpiar las variables y evitar estos problemas.

Saludos
Y es que a veces pienso que si no estuviera loco no podría salir adelante.
Lo que no se es capaz de dar, en realidad no se posee, uno es poseído por ello.

:ohk<any>

#2
27 Agosto 2013, 15:58 PM
Y es que a veces pienso que si no estuviera loco no podría salir adelante.
Lo que no se es capaz de dar, en realidad no se posee, uno es poseído por ello.

patilanz

#3
27 Agosto 2013, 18:43 PM
Hola, lei el post y descargue los archivos pero me dan errores. Osea el archivo install.php no funciona y cree las consultas solo. Pero luego links.php también me da errores:


Notice: Undefined index: templates/error_die.tmpl in C:\xampp\htdocs\sslinks\global.inc.php on line 173
An error has caused the script to terminate abruptly. Here is the error message:
Unable to select database.


Notice: Undefined index: templates/admin_login_option.tmpl in C:\xampp\htdocs\sslinks\global.inc.php on line 173

Notice: Undefined index: templates/footer_menu.tmpl in C:\xampp\htdocs\sslinks\global.inc.php on line 173

Yo he leído aparte pero quiero aprender mas sobre sql injection.

Saludos
Imprimir
Ir Arriba Páginas1
Acciones del Usuario