Mensajes

sigue en este dbase no es tan complicado como lo es mysql, además no es SQL estandard tendras que guiarte por los ejemplos que hay en el link

dbase_get_record() devuelve un array de datos... si quieres recorrer todos los datos tendras que usar un for para un limite que obtienes con dbase_numrecords() y usar con cada uno dbase_get_record()

no se por que usas dbase pero si quieres algo portable y SQL standard usa sqlite xD

usas windows... estas poniendo la ruta estilo linux

sería dbase_open('tmp\SURF10.DBF');

existe el archivo en esa ruta? de eso va el error... el archivo no esta en esa ruta

que sistema operativo usas?

que tal andas con la POO?

tienes 2 opciones (en realidad como 5 xD) usar mysql_real_scape_string() para todos los datos que te pasen y asi no ser vulnerable a sqli O utilizar prepared statements (que viene funcionando un poco diferente) por medio de mysqli o PDO

haz el intento de inyectar en tu codigo... despues agrega esto al principio del script

Código (php) [Seleccionar] Expandir

foreach ($_POST as $key => $value) {
$_POST[$key] = mysql_real_escape_string($value);
}

y vuelve a probar la inyeccion

la 2da opcion sería que leas esto
http://www.petefreitag.com/item/356.cfm (ejemplo basico)
http://devzone.zend.com/article/686 (ejemplo comparativo entre el metodo tradicional y con prepared statements en mysqli)
http://php.net/manual/en/pdo.prepared-statements.php (procesos almacenados y sentencias preparadas con PDO)

tienes tarea

si esto es para aprender php+mysql esta bien... si es un trabajo vas a ser owneado porque sos vulnerable a sqli

como ya te dijo yoyahack... estas tomando los datos por donde no debes xD usa $_POST['campo']

si podes aprender/usar mysql o PDO y prepared statements mucho mejor xD yo no usaria el codigo de arriba

http://www.php.net/manual/en/book.dbase.php

por supuesto que se pueden usar sentencias sql xD o no seria una base de datos no?

necesitas una manual de referencia

http://mx2.php.net/get/php_manual_es.chm/from/mx.php.net/mirror

pregunto por php Y dBase, NO por un manual de php en general, respuestas tan específicas como la pregunta por favor (si hubiera pedido algo mas específico talvez hubiera puesto un ejemplo )

salu2

grandioso aporte... pero no funciona en ie XD, es cuestion de hacerle un arreglo menor a tu funcion contenidoXML()

lo muevo a php

algo como Damn Vulnerable Web App en asp?

si te sirve...

http://www.offensive-security.com/metasploit-unleashed/Creating-a-Vulnerable-Web-App

estas trabajando con sql server 2005?

si no mal recuerdo no existe date ... lo se, lo se... lo incorporaron hasta el 2008

tendras que usar datetime o smalldatetime



confirmando:
http://msdn.microsoft.com/en-us/library/ms187752%28SQL.90%29.aspx

funciona igual no te preocupes solo que tendras una hora 00:00 si solo insertas una fecha

Vaya pero si para bypessear un procedimiento tienen que hackear primero al servidor, consideras mas efectivo los escape_querys???

Estoy casi casi considerando inclinarme por el procedimiento almacenado....

si obtienen acceso a los datos del script (donde obligatoriamente obtiene una conexion y datos ), se obtienen los datos acceso al servidor tambien con una shell local si logra ver una prepared statement, lograría conectar al servidor y ver un procedimiento

ambos metodos son igual de seguros, pero depende de la comodidad del desarrollador donde quiere la query, en un proceso almacenado (y entrar al servidor de bd cada vez que la modifique) o tenerla implicita en la aplicacion que desarrolla (su script... asp, php, perl, etc)

escape_query es igual de efectivo porque de hecho, hace lo mismo, (es lo que queria que probaras cuando tenias un registro con una string "maliciosa" como valor, una escaped xD)

solo que no es implicito y la efectividad depende de la eficiencia del programador que tiene que asegurarse que absolutamente todos sus datos sean "escaped" lo cual no es nada cómodo ni produce un codigo limpio