cristianvar

Bueno, muchas veces me he topado con un monton de webs con una pequeña vulnerabilidad que permite realizar inyecciones de código SQL por medio de un formulario (ya sea el de registro, el de login u otros) o utilizando la barra de direcciones (osea, el método GET). Esto permite al atacante, acceder a la base de datos y modificar (editar, eliminar, etc) cualquier contenido que haya en ella.
 
Para evitar este tipo de ataques vamos a utilizar una pequeña función que sustituye todos los carácteres especiales para ejecutar sentencias SQL y, ya que estamos, también eliminamos cualquier tipo de etiqueta HTML que haya de por medio.
 
Vamos a ver la función:
 
#Edito: el código estaba mal, la función es mysql_real_escape_string(), no mysql_real_string(). Pequeño error, pero ya lo corregí.
 

<?php function limpiar($contenido) { $contenido = strip_tags($contenido); $contenido = mysql_real_escape_string($contenido); return $contenido; } ?> Para ponerlo a funcionar podríamos utilizar este ejemplo:
 

<?php $usuario = limpiar($_POST['usuario']); ?> O, si utlizamos el método GET, podemos usar este código:
 

<?php $usuario = limpiar($_GET['usuario']); ?>  
Todo el tema de seguridad es muy importante a la hora de crear una página web, y aún más si es para un servidor de Metin2, ya que hay mucha gente ociosa a la que le divierte fastidiar.
 
A los que les interese todo el tema de seguridad, pueden ver esta guía en PDF bastante útil:
Debes iniciar sesión para ver el contenido del enlace en esta publicación.  
 
 
Espero que os sirva esto y si teneis alguna duda, estaré encantado de intentar ayudaros en lo que pueda.
 
 
Saludos.

Hoy os traigo este sitio, bastante completo, donde aprender a programar lenguajes orientados a la web, tales como HTML, CSS, XML, JavaScript, PHP, etc.
 
Este sitio, como he dicho antes, es bastante completo y cuyo contenido es fácil de entender. El único inconveniente es que está en inglés.
 
Sitio -
Debes iniciar sesión para ver el contenido del enlace en esta publicación.  
 
¡Un saludo!

Bueno, muchas veces me he topado con un monton de webs con una pequeña vulnerabilidad que permite realizar inyecciones de código SQL por medio de un formulario (ya sea el de registro, el de login u otros) o utilizando la barra de direcciones (osea, el método GET). Esto permite al atacante, acceder a la base de datos y modificar (editar, eliminar, etc) cualquier contenido que haya en ella.
 
Para evitar este tipo de ataques vamos a utilizar una pequeña función que sustituye todos los carácteres especiales para ejecutar sentencias SQL y, ya que estamos, también eliminamos cualquier tipo de etiqueta HTML que haya de por medio.
 
Vamos a ver la función:
 
#Edito: el código estaba mal, la función es mysql_real_escape_string(), no mysql_real_string(). Pequeño error, pero ya lo corregí.
 

<?php function limpiar($contenido) { $contenido = strip_tags($contenido); $contenido = mysql_real_escape_string($contenido); return $contenido; } ?> Para ponerlo a funcionar podríamos utilizar este ejemplo:
 

<?php $usuario = limpiar($_POST['usuario']); ?> O, si utlizamos el método GET, podemos usar este código:
 

<?php $usuario = limpiar($_GET['usuario']); ?>  
Todo el tema de seguridad es muy importante a la hora de crear una página web, y aún más si es para un servidor de Metin2, ya que hay mucha gente ociosa a la que le divierte fastidiar.
 
A los que les interese todo el tema de seguridad, pueden ver esta guía en PDF bastante útil:
Debes iniciar sesión para ver el contenido del enlace en esta publicación.  
 
 
Espero que os sirva esto y si teneis alguna duda, estaré encantado de intentar ayudaros en lo que pueda.
 
 
Saludos.

Bueno, muchas veces me he topado con un monton de webs con una pequeña vulnerabilidad que permite realizar inyecciones de código SQL por medio de un formulario (ya sea el de registro, el de login u otros) o utilizando la barra de direcciones (osea, el método GET). Esto permite al atacante, acceder a la base de datos y modificar (editar, eliminar, etc) cualquier contenido que haya en ella.
 
Para evitar este tipo de ataques vamos a utilizar una pequeña función que sustituye todos los carácteres especiales para ejecutar sentencias SQL y, ya que estamos, también eliminamos cualquier tipo de etiqueta HTML que haya de por medio.
 
Vamos a ver la función:
 
#Edito: el código estaba mal, la función es mysql_real_escape_string(), no mysql_real_string(). Pequeño error, pero ya lo corregí.
 

<?php function limpiar($contenido) { $contenido = strip_tags($contenido); $contenido = mysql_real_escape_string($contenido); return $contenido; } ?> Para ponerlo a funcionar podríamos utilizar este ejemplo:
 

<?php $usuario = limpiar($_POST['usuario']); ?> O, si utlizamos el método GET, podemos usar este código:
 

<?php $usuario = limpiar($_GET['usuario']); ?>  
Todo el tema de seguridad es muy importante a la hora de crear una página web, y aún más si es para un servidor de Metin2, ya que hay mucha gente ociosa a la que le divierte fastidiar.
 
A los que les interese todo el tema de seguridad, pueden ver esta guía en PDF bastante útil:
Debes iniciar sesión para ver el contenido del enlace en esta publicación.  
 
 
Espero que os sirva esto y si teneis alguna duda, estaré encantado de intentar ayudaros en lo que pueda.
 
 
Saludos.

Esto no realiza ninguna conexión con la base de datos, sólo define unas constantes. Para realizar la conexión con la base de datos utilizando estas constante, podríamos hacerlo de la siguiente forma:
 

<?php DEFINE('DB_HOST', 'Host de la base de datos'); DEFINE('DB_USER', 'Usuario de la base de datos'); DEFINE('DB_PASSWORD', 'Contraseña de la base de datos'); DEFINE('DB_NAME', 'Nombre de la base de datos'); $conexion = mysql_connect(DB_HOST, DB_USER, DB_PASSWORD) or die("No se pudo conectar con el servidor de la base de datos. Error: ".mysql_error()); mysql_select_db(DB_NAME, $conexion); ?>

Hola, les dejo con esta clase MySQL que les permitirá crear su propia CMS con conocimientos básicos sobre php y mysql. Cualquier duda comentar.
 

<!--?php /** * @author Zenok * @page www.metin2zone.net * @copyright Zenok */ class core { public static $string; public function Init() { session_start(); $this->MySQL(); } public function MySQL() { $this->hostname = "localhost"; $this->username = "root"; $this->password = "TU_CONTRASEÑA"; $this->database = "TU_DB"; $this->connection = mysql_connect($this->hostname, $this->username, $this->password) or die(mysql_error()); $this->connection = mysql_select_db($this->database) or die(mysql_error()); return $this->connection; } public function String($string) { $this->String = mysql_real_escape_string($string); $this->String = strip_tags($this->String); return $this->String; } public function User($string) { $this->User = mysql_fetch_assoc(mysql_query("SELECT ".$string." FROM users WHERE id = '".$_SESSION['id']."'")); return $this->User[''.$string.'']; } public function GetOnline() { $this->Online = mysql_fetch_assoc(mysql_query("SELECT users_online FROM server_status")); return $this->Online['users_online']; } } $core = new core(); $core->Init(); ?>
 
- Init(): Inicia la clase PHP
- MySQL(): Inicia la conexión MySQL
- String(): Filtra las variables para evitar inyecciones SQL
- User(): Obtiene la información del usuario
- GetOnline(): Obtiene los usuarios conectados en la web
 
1.- Utilización de la clase
 
Es necesario que al principio de cada archivo se incluya la clase PHP para poder usarla de este modo:
 

<?php require_once("includes/class_core.php"); ?>
 
2.- Utilización de la clase
 
Para llamar a las funciones en tus códigos php tan solo necesitas realizarlo de este modo:
 

$core->Funcion();
 
Por ejemplo:
 
Seleccionar dato de usuario por post

<?php $username = $core->String($_POST['username']); mysql_query("SELECT id FROM users WHERE username = '$username'"); ?>
 
Recojer usuarios online
 

<?php echo $core->GetOnline(); ?>

Ingles no es un inconveniente, te recomiendo estudiarlo si vas a querer seguir aprendiendo tecnología programación o informática o casi cualquier curso actualizado de cualquier carrera o avance, estará en ingles

Exacto, pero yo, por ejemplo, cuando recién empecé con PHP y MySQL, no conocía esto, y como ningún trabajo de los que hacía era para algún proyecto importante, nunca me molesté en buscar vulnerabilidades y soluciones en mis scripts.
 
Un saludo!

Bueno, muchas veces me he topado con un monton de webs con una pequeña vulnerabilidad que permite realizar inyecciones de código SQL por medio de un formulario (ya sea el de registro, el de login u otros) o utilizando la barra de direcciones (osea, el método GET). Esto permite al atacante, acceder a la base de datos y modificar (editar, eliminar, etc) cualquier contenido que haya en ella.
 
Para evitar este tipo de ataques vamos a utilizar una pequeña función que sustituye todos los carácteres especiales para ejecutar sentencias SQL y, ya que estamos, también eliminamos cualquier tipo de etiqueta HTML que haya de por medio.
 
Vamos a ver la función:
 
#Edito: el código estaba mal, la función es mysql_real_escape_string(), no mysql_real_string(). Pequeño error, pero ya lo corregí.
 

<?php function limpiar($contenido) { $contenido = strip_tags($contenido); $contenido = mysql_real_escape_string($contenido); return $contenido; } ?> Para ponerlo a funcionar podríamos utilizar este ejemplo:
 

<?php $usuario = limpiar($_POST['usuario']); ?> O, si utlizamos el método GET, podemos usar este código:
 

<?php $usuario = limpiar($_GET['usuario']); ?>  
Todo el tema de seguridad es muy importante a la hora de crear una página web, y aún más si es para un servidor de Metin2, ya que hay mucha gente ociosa a la que le divierte fastidiar.
 
A los que les interese todo el tema de seguridad, pueden ver esta guía en PDF bastante útil:
Debes iniciar sesión para ver el contenido del enlace en esta publicación.  
 
 
Espero que os sirva esto y si teneis alguna duda, estaré encantado de intentar ayudaros en lo que pueda.
 
 
Saludos.

Bueno, muchas veces me he topado con un monton de webs con una pequeña vulnerabilidad que permite realizar inyecciones de código SQL por medio de un formulario (ya sea el de registro, el de login u otros) o utilizando la barra de direcciones (osea, el método GET). Esto permite al atacante, acceder a la base de datos y modificar (editar, eliminar, etc) cualquier contenido que haya en ella.
 
Para evitar este tipo de ataques vamos a utilizar una pequeña función que sustituye todos los carácteres especiales para ejecutar sentencias SQL y, ya que estamos, también eliminamos cualquier tipo de etiqueta HTML que haya de por medio.
 
Vamos a ver la función:
 
#Edito: el código estaba mal, la función es mysql_real_escape_string(), no mysql_real_string(). Pequeño error, pero ya lo corregí.
 

<?php function limpiar($contenido) { $contenido = strip_tags($contenido); $contenido = mysql_real_escape_string($contenido); return $contenido; } ?> Para ponerlo a funcionar podríamos utilizar este ejemplo:
 

<?php $usuario = limpiar($_POST['usuario']); ?> O, si utlizamos el método GET, podemos usar este código:
 

<?php $usuario = limpiar($_GET['usuario']); ?>  
Todo el tema de seguridad es muy importante a la hora de crear una página web, y aún más si es para un servidor de Metin2, ya que hay mucha gente ociosa a la que le divierte fastidiar.
 
A los que les interese todo el tema de seguridad, pueden ver esta guía en PDF bastante útil:
Debes iniciar sesión para ver el contenido del enlace en esta publicación.  
 
 
Espero que os sirva esto y si teneis alguna duda, estaré encantado de intentar ayudaros en lo que pueda.
 
 
Saludos.

Bueno, muchas veces me he topado con un monton de webs con una pequeña vulnerabilidad que permite realizar inyecciones de código SQL por medio de un formulario (ya sea el de registro, el de login u otros) o utilizando la barra de direcciones (osea, el método GET). Esto permite al atacante, acceder a la base de datos y modificar (editar, eliminar, etc) cualquier contenido que haya en ella.
 
Para evitar este tipo de ataques vamos a utilizar una pequeña función que sustituye todos los carácteres especiales para ejecutar sentencias SQL y, ya que estamos, también eliminamos cualquier tipo de etiqueta HTML que haya de por medio.
 
Vamos a ver la función:
 
#Edito: el código estaba mal, la función es mysql_real_escape_string(), no mysql_real_string(). Pequeño error, pero ya lo corregí.
 

<?php function limpiar($contenido) { $contenido = strip_tags($contenido); $contenido = mysql_real_escape_string($contenido); return $contenido; } ?> Para ponerlo a funcionar podríamos utilizar este ejemplo:
 

<?php $usuario = limpiar($_POST['usuario']); ?> O, si utlizamos el método GET, podemos usar este código:
 

<?php $usuario = limpiar($_GET['usuario']); ?>  
Todo el tema de seguridad es muy importante a la hora de crear una página web, y aún más si es para un servidor de Metin2, ya que hay mucha gente ociosa a la que le divierte fastidiar.
 
A los que les interese todo el tema de seguridad, pueden ver esta guía en PDF bastante útil:
Debes iniciar sesión para ver el contenido del enlace en esta publicación.  
 
 
Espero que os sirva esto y si teneis alguna duda, estaré encantado de intentar ayudaros en lo que pueda.
 
 
Saludos.

Bueno, muchas veces me he topado con un monton de webs con una pequeña vulnerabilidad que permite realizar inyecciones de código SQL por medio de un formulario (ya sea el de registro, el de login u otros) o utilizando la barra de direcciones (osea, el método GET). Esto permite al atacante, acceder a la base de datos y modificar (editar, eliminar, etc) cualquier contenido que haya en ella.
 
Para evitar este tipo de ataques vamos a utilizar una pequeña función que sustituye todos los carácteres especiales para ejecutar sentencias SQL y, ya que estamos, también eliminamos cualquier tipo de etiqueta HTML que haya de por medio.
 
Vamos a ver la función:
 
#Edito: el código estaba mal, la función es mysql_real_escape_string(), no mysql_real_string(). Pequeño error, pero ya lo corregí.
 

<?php function limpiar($contenido) { $contenido = strip_tags($contenido); $contenido = mysql_real_escape_string($contenido); return $contenido; } ?> Para ponerlo a funcionar podríamos utilizar este ejemplo:
 

<?php $usuario = limpiar($_POST['usuario']); ?> O, si utlizamos el método GET, podemos usar este código:
 

<?php $usuario = limpiar($_GET['usuario']); ?>  
Todo el tema de seguridad es muy importante a la hora de crear una página web, y aún más si es para un servidor de Metin2, ya que hay mucha gente ociosa a la que le divierte fastidiar.
 
A los que les interese todo el tema de seguridad, pueden ver esta guía en PDF bastante útil:
Debes iniciar sesión para ver el contenido del enlace en esta publicación.  
 
 
Espero que os sirva esto y si teneis alguna duda, estaré encantado de intentar ayudaros en lo que pueda.
 
 
Saludos.

Bueno, muchas veces me he topado con un monton de webs con una pequeña vulnerabilidad que permite realizar inyecciones de código SQL por medio de un formulario (ya sea el de registro, el de login u otros) o utilizando la barra de direcciones (osea, el método GET). Esto permite al atacante, acceder a la base de datos y modificar (editar, eliminar, etc) cualquier contenido que haya en ella.
 
Para evitar este tipo de ataques vamos a utilizar una pequeña función que sustituye todos los carácteres especiales para ejecutar sentencias SQL y, ya que estamos, también eliminamos cualquier tipo de etiqueta HTML que haya de por medio.
 
Vamos a ver la función:
 
#Edito: el código estaba mal, la función es mysql_real_escape_string(), no mysql_real_string(). Pequeño error, pero ya lo corregí.
 

<?php function limpiar($contenido) { $contenido = strip_tags($contenido); $contenido = mysql_real_escape_string($contenido); return $contenido; } ?> Para ponerlo a funcionar podríamos utilizar este ejemplo:
 

<?php $usuario = limpiar($_POST['usuario']); ?> O, si utlizamos el método GET, podemos usar este código:
 

<?php $usuario = limpiar($_GET['usuario']); ?>  
Todo el tema de seguridad es muy importante a la hora de crear una página web, y aún más si es para un servidor de Metin2, ya que hay mucha gente ociosa a la que le divierte fastidiar.
 
A los que les interese todo el tema de seguridad, pueden ver esta guía en PDF bastante útil:
Debes iniciar sesión para ver el contenido del enlace en esta publicación.  
 
 
Espero que os sirva esto y si teneis alguna duda, estaré encantado de intentar ayudaros en lo que pueda.
 
 
Saludos.