Hola tengo el siguiente codigo:
if(!$errores){
$con=mysql_connect($h,$u,$p,$b) or die(mysql_error());
$b=mysql_select_db($b,$con);
$select=mysql_query('SELECT * FROM registro_c WHERE user="'.trim($_POST['user']).'"') or die(mysql_error());
if($select){
$select=mysql_fetch_array($select);
if($select['pw']!=trim(md5($_POST['pw']))){
$errores[]='User o pass incorrectos';
}
}else{
$errores[]='User o pass incorrectos';
}
}
$errores esta vacio al principio.
Alguien me puede ayudar a injectarme a mi mismo ?? Es para aprender, ya que lo he intentado y no se me ocurre como .
Sabes un poco de inyecciones SQL?.
WHK y otros usuarios lo explican bastante y hay mucha información en "Nivel web".
Antes de meter ese $_POST['user'] deberías limpiar lo que recibes, no solo acortar los espacios en blanco de cada lado.
Antes se usaba los addslashes, html_special_chars, entre otros...
Pero ahora WHK a posteado una función para limpiar las variables y evitar estos problemas.
Saludos
Mira, acá hay un poco de hace años, quizás te ayude.
http://foro.elhacker.net/nivel_web/sql_injection_para_principiantes_ejemplos_en_aplicaciones_reales-t142203.0.html (http://foro.elhacker.net/nivel_web/sql_injection_para_principiantes_ejemplos_en_aplicaciones_reales-t142203.0.html)
Saludos
Hola, lei el post y descargue los archivos pero me dan errores. Osea el archivo install.php no funciona y cree las consultas solo. Pero luego links.php también me da errores:
Notice: Undefined index: templates/error_die.tmpl in C:\xampp\htdocs\sslinks\global.inc.php on line 173
An error has caused the script to terminate abruptly. Here is the error message:
Unable to select database.
Notice: Undefined index: templates/admin_login_option.tmpl in C:\xampp\htdocs\sslinks\global.inc.php on line 173
Notice: Undefined index: templates/footer_menu.tmpl in C:\xampp\htdocs\sslinks\global.inc.php on line 173
Yo he leído aparte pero quiero aprender mas sobre sql injection.
Saludos