• Domingo 17 de Noviembre de 2024, 22:57

Mostrar Mensajes

Esta sección te permite ver todos los posts escritos por este usuario. Ten en cuenta que sólo puedes ver los posts escritos en zonas a las que tienes acceso en este momento.


Mensajes - angelbroz

Páginas: [1]
1
PHP / Re: SQL INYECTION en mi Shop
« en: Martes 8 de Diciembre de 2009, 22:14 »
Que hay th3r0rn =)

Siempre que hagas consultas SQL utilizando variables que obtienes con GET, POST y hasta las variables de las COOKIES,  tienes que pasarlas por filtros para evitar inyecciones SQL
PHP tiene funciones para eso...

Código: PHP
  1. $mivariable = mysql_real_escape_string($mivariable);
  2.  

aplicando esta funcion a tu codigo, quedaria de esta forma...


Código: PHP
  1.  
  2.     <?PHP
  3.    
  4.     include("includes/conx.php");
  5.  
  6.     $producto = mysql_real_escape_string($_GET["id"]);
  7.  
  8.     $query="SELECT * FROM PRODUCTOS WHERE id=$producto";
  9.     $pedido=mysql_query($query,$conx);
  10.      
  11.     while($row=mysql_fetch_array($pedido)){
  12.        echo"Usted pidio: ".$row["nombre"]."<br>";
  13.        echo"De la marca. ".$row["marca"]."<br>";
  14.        echo"El cual cuesta:".$row["precio"]."<br>";
  15.    
  16.    }
  17.    //$error=mysql_error();
  18.    //echo$error;
  19.    ?>
  20.  
  21.  

Páginas: [1]