La Comunidad DragonJAR  

Retroceder   La Comunidad DragonJAR > Seguridad > Seguridad en Bases de Datos
Actualizar esta página Salvarte de un Sql inyeccion en php
Registrarse Ayuda Calendario Marcar Foros Como Leídos

¿Qué es La Comunidad DragonJAR?

DragonJAR.org es una comunidad de investigadores, estudiantes, profesionales y entusiastas de la Seguridad Informática, En la cual se busca darle un enfoque eminentemente práctico a la teoría sin olvidar las bases esenciales de esta.

De esta manera se Tratará de ofrecer soluciones útiles a los usuarios, tanto novatos, estudiantes, como a los profesionales e investigadores, Teniendo presente que el mundo de la seguridad informática y la información es un medio que se auto inventa constantemente.

La Comunidad DragonJAR es un espacio abierto y libre para cualquier persona que desee compatir en un ambiente digital sus conocimientos o sus dudas. El registro es gratuito, toma poco tiempo y te permite disfrutar de todas las características del sitio.

Si es tu primera visita, quizás deberías visitar la Ayuda para aprender un poco sobre el uso de los foros, para empezar a ver mensajes, selecciona el foro que quieres visitar de la lista de abajo.

Respuesta
 
LinkBack Herramientas Desplegado
Antiguo 23-Mar-2009, 17:59   #1
Dragonauta con Privilegios
 
Avatar de Dédalo
 
Fecha de Ingreso: 22-March-2009
Ubicación: Lima - Perú
Mensajes: 289
Gracias: 18
Agradecido 70 veces en 51 Mensajes
Dédalo llegará a ser famoso muy pronto
Predeterminado Salvarte de un Sql inyeccion en php
mm bueno pues como les he contado en algunos posts anteriores recien estoy empesando con los lenguajes webs =) y ahora he aprendido a que un codigo no sea vulnerable a Sql inyeccion o al menos creo que esta bien seguro =) es solo un login =) pero para que aprendan =)


Código PHP:
<HTML>
<HEAD>
<TITLE>Evitar Sql inyeccion By Dedalo</TITLE> 
</HEAD>
<BODY>
<style>
body{
    text-align:center;
    background-color:#000000;
}
</style>
<?php
 
$HOST "localhost";
$DB_USER "root";
$DB_PASSWORD "pass";
$DB "Aprendiendo-sql";
$USER $_POST['Usuario'];
$PASSWORD $_POST['Password'];
 
$conexion mysql_connect($HOST,$DB_USER,$DB_PASSWORD) or die ("Error de conexion a la base de Datos Mysql");
mysql_select_db($DB,$conexion) or die ("Error en la seleccion de la base de Datos");
$consulta mysql_query("select Usuario from usuarios where Usuario= addslashes($USER) and Password= addslashe('$PASSWORD)",$conexion);
$num_rows mysql_num_rows($consulta);
mysql_close($conexion);
echo "<b><BR><BR>select Usuario from usuarios where Usuario= addslashes($USER) and Password= addslashes($PASSWORD)</b>";
if ($num_rows 0
{
    echo "<BR><BR><BR><BR>";
    echo "<b>Bienvenid@, $USER</b>";
}
else
{
    echo "<BR><BR><b>Error en login</b>";
}
?>
</BODY>
</HTML>

mmm bueno creo que el codigo esta bien =) si tengo errores u horrores pues avisenme jajaja



Saludos
Dedalo (Dédalo)
__________________



Siganme en twitter

http://twitter.com/seguridadblanca
Última edición por Dédalo; 23-Mar-2009 a las 23:22
Dédalo está desconectado   Responder Citando
Los siguientes Usuarios dicen Gracias a Dédalo por este util Mensaje:
DragoN (24-Mar-2009)
Antiguo 23-Mar-2009, 22:48   #2
Dragonauta
 
Avatar de PerverthsO
 
Fecha de Ingreso: 11-August-2008
Mensajes: 185
Gracias: 9
Agradecido 46 veces en 23 Mensajes
PerverthsO está en el buen camino
Predeterminado
creo hay un ' de mas en la consulta y creo q si con el addslashes puedes filtrar los sql injeccion
__________________
PerverthsO
PerverthsO está desconectado   Responder Citando
Antiguo 23-Mar-2009, 22:59   #3
Dragonauta en Proceso
 
Fecha de Ingreso: 11-August-2008
Ubicación: Bacatá
Mensajes: 74
Gracias: 6
Agradecido 7 veces en 7 Mensajes
Pratt está en el buen camino
Predeterminado
Tambien puedes usar "mysql_real_escape_string()" si tu base de datos es mysql.

Aqui dejo un link (viejito) que habla sobre las ventajas de usar mysql_real_escape_string sobre addslashes, si estas usando un set de Caracteres diferente a UTF o algo por el estilo..
Chris Shiflett: addslashes() Versus mysql_real_escape_string()

Segun tengo entendido, para php 6 el addslashes deja de existir.

Saludos!

PD: Para que tu codigo sea valido en XHTML, deberias cerrar los tags -> <br> es <br />
__________________
Pratt está desconectado   Responder Citando
Antiguo 23-Mar-2009, 23:01   #4
Dragonauta con Privilegios
 
Avatar de Dédalo
 
Fecha de Ingreso: 22-March-2009
Ubicación: Lima - Perú
Mensajes: 289
Gracias: 18
Agradecido 70 veces en 51 Mensajes
Dédalo llegará a ser famoso muy pronto
Predeterminado
hay esa y muchas mas =) pero esa es digamos la manera como yo la enseño =)


Saludos
Cdedalo(Dédalo)
__________________



Siganme en twitter

http://twitter.com/seguridadblanca
Dédalo está desconectado   Responder Citando
Antiguo 05-Feb-2010, 05:49   #5
Recien Nacido
 
Avatar de hackmaf
 
Fecha de Ingreso: 30-January-2010
Mensajes: 6
Gracias: 0
Agradecido 0 veces en 0 Mensajes
hackmaf está en el buen camino
Predeterminado
Muy bueno Dédalo, simple y conciso, es lo que estaba buscando, Gracias! . . . hackmaf
__________________
.
.
.

hackmaf
hackmaf está desconectado   Responder Citando
Respuesta

Etiquetas
inyeccion, php, salvarte, sql

« Tema Anterior | Próximo Tema »
Herramientas
Desplegado
Mode Lineal Mode Lineal

Normas de Publicación
No puedes crear nuevos temas
No puedes responder mensajes
No puedes subir archivos adjuntos
No puedes editar tus mensajes
Los Códigos BB están Activado
Las Caritas están Activado
[IMG] está Activado
El Código HTML está Desactivado
Trackbacks are Activado
Pingbacks are Activado
Refbacks are Activado


La franja horaria es GMT -6. Ahora son las 19:52.

Contáctenos - La Comunidad DragonJAR - Archivo - Arriba