Mensajes

Pues eso... estaria bien este codigo ?

Código (php) [Seleccionar] Expandir

    if (isset($_POST) && isset($_SERVER['HTTP_REFERER']) && $_SERVER['HTTP_REFERER'] == 'http://www.elzulo***/alta_usuario.php' && !empty($_POST)) {
        $username = $_POST["strNick"];
        $pass = $_POST["strPassword"];
        $password = $_POST["password"];
        $email = $_POST["strEmail"];
        $mail = $_POST["mail"];
        $telefono = $_POST["intNtelf"];
        $telefono2 = $_POST["telefono"];
         
        $checkuser = comprobaruser($_POST["strNick"]);
        $checkmail = comprobaruser($_POST["strEmail"]);
         
              if($pass!=$password) {
                 echo "Las contraseñas no coinciden"; }
                    if($email!=$mail) {
                 echo "El email no coincide"; }
             
                 if($telefono!=$telefono2) {
                 echo "Los telefonos no coinciden";
              }else {
                 if ($checkuser !=0) {
                     echo "El usuario" .$username. "ya existe"; }
                     
                     if ($checkmail !=0){
                         echo "El mail" .$email. "ya existe"; }
             
              }
        }else {
         
        if (isset($_POST["form1"])) {
          $insertSQL = sprintf("INSERT INTO tblusuario (strNombre, strEmail, intActivo, strPassword, strDireccion) VALUES (%s, %s, %s, %s, %s)",
                               GetSQLValueString($_POST['strNombre'], "text"),
                               GetSQLValueString($_POST['strEmail'], "text"),
                               GetSQLValueString($_POST['intActivo'], "int"),
                               GetSQLValueString($_POST['strPassword'], "text"),
                               GetSQLValueString($_POST['strDireccion'], "text"));
         
          mysql_select_db($database_conexionzulo, $conexionzulo);}}

Perfecto eso queria... Saber si habia algun scaner "fiable"

Muchas gracias !!

EDITO:

Me da esto:

[01:03:42] [WARNING] User-Agent parameter 'User-Agent' is not dynamic
[01:03:43] [WARNING] Cookie parameter 'PHPSESSID' is not dynamic
[01:03:47] [WARNING] GET parameter 'cat' is not injectable with 0 parenthesis
[01:03:49] [WARNING] GET parameter 'cat' is not injectable with 1 parenthesis
[01:03:53] [WARNING] GET parameter 'cat' is not injectable with 2 parenthesis
[01:03:55] [WARNING] GET parameter 'cat' is not injectable with 3 parenthesis

• shutting down at: 01:03:55

No es mala idea ^^ Me gusta esa propuesta

Tambien podria pasar el codigo por aqui xD

Y tanto se aburren los de arabia?

Y... Claro... xDDD Tengo que revisarme toooooooooooooooooodo el codigo.... xD

pfffffffffffff....

Como puedo saber si mi pagina tiene inyeccion SQL y como  puedo hacer para evitarlo??

Es decir como puedo dar algo mas de seguridad a mi web y ponerlo algo mas dificil?

Gracias a todos.

Echo de esta consulta que es de la funcion comprobartalla:

$query_ConsultaFuncion = sprintf("SELECT * FROM tblproductotalla WHERE relProducto=%s", $idproducto);

SELECT * FROM tblproductotalla WHERE relProducto=2

Echo de la consulta de la funcion comprobarcarrito:

SELECT * FROM tblcarrito WHERE idUsuario = 1 AND idProducto=2 AND intTransaccionEfectuada = 0

Echo de $tallas:

0 (cuando no hay tallas)

1 (cuando hay tallas)

Echo $carrito:
88 (cuando esta en el carrito intContador)

0 (cuando no esta en el carrito) ....

He ido probando con el if y si me imprimia un echo por ejemplo cuando $tallas == 0 && $carrito !=0 ... He intentado hacer el UPDATE con esa comparacion y no me lo hace... Lo he intentado asi: $insertSQL = sprintf("UPDATE tblcarrito SET intCantidad = intCantidad + %s WHERE intContador = %s",$_GET['intCantidad'],
                       $carrito);

Perfecto !! Si me interesa.. Pero... Todavia no empece con el tema seguridad ya que la pagina esta en desarrollo en cuanto haya que ponerla a funcionar... Pedire consejos de seguridad

Pues la cosa es que no da ningun error jajajaja Ese es el problema si no sabria por donde tirar mas o menos o lo postearia.. Pero es que no da ningun error !!!

Simplemente hace lo mismo que antes.. Me añade el producto al carrito pero no lo suma...

Lo que se supone que tiene que hacer eso es mirar si tiene talla y si esta en el carrito. Si esta en el carrito hacer un update para sumarlo.

Asi que ... Es como si no estubiese funcionando :S Pero sin ningun error ni nada..

Gracias a los dos !

Pues que si esta bien... Porque no me esta funcionando :S

Si hay algun error, esa es la pregunta. Porque no me esta funcionando...

Ahi va !

Código (php) [Seleccionar] Expandir

$tallas = comprobartalla($_GET['recordID']);
if ($tallas == 0) {$carrito = comprobarcarrito($_GET['recordID']);
if ($carrito !=0) {$insertSQL = sprintf("UPDATE tblcarrito SET intCantidad = intCantidad + %s WHERE intContador = %s",$_GET['intCantidad'],
  $carrito);}
  else {$insertSQL = sprintf("INSERT INTO tblcarrito (idUsuario, idProducto, intCantidad) VALUES (%s, %s, %s)",
                      GetSQLValueString($_SESSION['MM_IdUsuario'], "int"),
  GetSQLValueString($_GET['recordID'], "int"),
  GetSQLValueString($_GET['intCantidad'], "int"));}
  }


Pongo las funciones:

Código (php) [Seleccionar] Expandir

function comprobartalla($idproducto)
{
global $database_conexionzulo, $conexionzulo;
mysql_select_db($database_conexionzulo, $conexionzulo);
$query_ConsultaFuncion = sprintf("SELECT * FROM tblproductotalla WHERE relProducto=%s", $idproducto);
$ConsultaFuncion = mysql_query($query_ConsultaFuncion, $conexionzulo) or die(mysql_error());
$row_ConsultaFuncion = mysql_fetch_assoc($ConsultaFuncion);
$totalRows_ConsultaFuncion = mysql_num_rows($ConsultaFuncion);
if ($totalRows_ConsultaFuncion == 0)
return 0;
else return 1;
mysql_free_result($ConsultaFuncion);
}

// +++++++++++++++++++++++++++++++++++++++++++
// +++++++++++++++++++++++++++++++++++++++++++

function comprobarcarrito($idproducto)
{
global $database_conexionzulo, $conexionzulo;
mysql_select_db($database_conexionzulo, $conexionzulo);
$query_ConsultaFuncion = sprintf("SELECT * FROM tblcarrito WHERE idUsuario = %s AND idProducto=%s AND intTransaccionEfectuada = 0", $_SESSION['MM_IdUsuario'],$idproducto);
$ConsultaFuncion = mysql_query($query_ConsultaFuncion, $conexionzulo) or die(mysql_error());
$row_ConsultaFuncion = mysql_fetch_assoc($ConsultaFuncion);
$totalRows_ConsultaFuncion = mysql_num_rows($ConsultaFuncion);
if ($totalRows_ConsultaFuncion >0)
return $row_ConsultaFuncion['intContador'];
else
return 0;
mysql_free_result($ConsultaFuncion);
}


Lo solucione con un elseif:

Código (php) [Seleccionar] Expandir

if ($tallas == 0 && $carrito!=0){$insertSQL = sprintf("UPDATE tblcarrito SET intCantidad = intCantidad + %s WHERE intContador = %s",$_GET['intCantidad'],
  $carrito);}
  elseif ($tallas == 0 && $carrito == 0) {$insertSQL = sprintf("INSERT INTO tblcarrito (idUsuario, idProducto, intCantidad) VALUES (%s, %s, %s)",
                      GetSQLValueString($_SESSION['MM_IdUsuario'], "int"),
                      GetSQLValueString($_GET['recordID'], "int"),
                      GetSQLValueString($_GET['intCantidad'], "int"));}

No se si es la manera adecuada o que... Pero bueno.. Si hay otra espero que me la hagan saber

Gracias a todos los que me ayudaron ! Y a los que no.... TAMBIEN !! jajaja

Si claro!!! Lo que no se es si publicar en el subforo... O dejarlo para la siguiente. De todas formas gracias !!!

Lo que quiero hacer es:

1º: Comprobar que el producto que vamos a comprar (camiseta azul talla "") tiene talla o no tiene talla.
2º: Si no tiene talla mirar en el carrito si ese producto (camiseta azul talla "") existe ya en el carrito. Si existe, actualizar el carrito(UPDATE) (poner 2unidades o las que coja). Si no existe añadir al carrito ese producto (INSERT).

3º: Si tiene talla ejecutar la siguiente funcion:

Código (php) [Seleccionar] Expandir

function comprobarexistencia($idproducto, $idtalla)
{
global $database_conexionzulo, $conexionzulo;
mysql_select_db($database_conexionzulo, $conexionzulo);
$query_ConsultaFuncion = sprintf("SELECT * FROM tblcarrito WHERE idUsuario = %s AND idProducto=%s AND strTalla = '%s' AND intTransaccionEfectuada = 0", $_SESSION['MM_IdUsuario'],$idproducto, $idtalla);
$ConsultaFuncion = mysql_query($query_ConsultaFuncion, $conexionzulo) or die(mysql_error());
$row_ConsultaFuncion = mysql_fetch_assoc($ConsultaFuncion);
$totalRows_ConsultaFuncion = mysql_num_rows($ConsultaFuncion);
if ($totalRows_ConsultaFuncion >0)
return $row_ConsultaFuncion['intContador'];
else
return 0;
mysql_free_result($ConsultaFuncion);
}

No se si me explique bien :S

Lo que quiero hacer es que se cumplan dos condiciones. Que el producto no tenga talla y que ya este en el carrito "o" que el producto no tenga yalla y NO este en el carrito.

Puesto que si tiene talla ya tengo una funcion que lo hace perfectamente. Comprueba que talla es mira si esta en el carrito y si esta en el carrito hace un update si no lo inserta. Pongo el codigo:

Código (php) [Seleccionar] Expandir

$valorrespuesta = comprobarexistencia($_GET['recordID'],$_GET['FTalla']);
if ($valorrespuesta!=0){
//UPDATE
  $insertSQL = sprintf("UPDATE tblcarrito SET intCantidad = intCantidad + %s WHERE intContador = %s",$_GET['intCantidad'],
   $valorrespuesta);
}
else {
  $insertSQL = sprintf("INSERT INTO tblcarrito (idUsuario, idProducto, intCantidad, strTalla) VALUES (%s, %s, %s, %s)",
                       GetSQLValueString($_SESSION['MM_IdUsuario'], "int"),
   GetSQLValueString($_GET['recordID'], "int"),
   GetSQLValueString($_GET['intCantidad'], "int"),
   GetSQLValueString($_GET['FTalla'], "text"));
}

Quiero hacer lo mismo, pero si no hay tallas...