Comentarios en: Más sobre validación de datos en PHP

Por: jenia

jenia — Thu, 12 Jun 2008 21:47:52 +0000

num_clientes es la variable la cual cual yo voy a dejar entrar al sitio esos numeros es el uno campo que tengo como dato o lleno en los campos

cliente_ nombres es la variable para nombre

Por: jenia

jenia — Thu, 12 Jun 2008 21:45:41 +0000

$id_link = mysql_connect($hostname, $username, $password);
if (! $id_link) {
$message = "La base de datos de usuarios no esta disponible, intente más tarde";
}
else {
$num_cliente = $arr_request['num_clientes'];
$str_sql = "select cliente_nombres from clientespaf where num_clientes='$num_clientes'";
$result = mysql_db_query($dbname,$str_sql,$id_link);
$message = "";
if (! $result) {
$message = "Número de cliente no existe";
}
$number_of_rows = @mysql_num_rows($result);
if ($number_of_rows

cliente_nombres == "") {
$forma = "index08.php";
$message = "¡Número de cliente correcto!";
$boton = "Continuar";
}
else {
$forma = "pag03.php";
$message = "Bienvenido ".$record->cliente_nombres;
$boton = "Ir a mi pagina";
}
}
else {
$forma = "pag01.php";
$boton = "

alguien me puede explicar este codigoasi funciona
pero quiero que me identifique 3 campos si estab vacios que me mande a una pagina. no lo puedo hacer...

asi como esta identifica el numero de cliente y lo compara con el nombre si esta vacio entonces ve rl apagina 8 pero si encontro el campo lleno mandarlo a la pagina 3 asi es como funciona pero si deseo que entre por tercera ocacion que detecto un segundo campo lleno y me mande a una tercer pagina como le hago????

Por: joao daniel

joao daniel — Tue, 03 Jun 2008 06:02:37 +0000

necesito saber como hago con este problema: estoy en php pero necesito que cuando presione la tecla backspace no se me regrese a la anterior pagina necesito validar eso como hago e intentado de todas las formas posibles
denme respuesta lo mas rapido posible

Por: joao daniel

joao daniel — Tue, 03 Jun 2008 06:01:31 +0000

Por: GUASA

GUASA — Mon, 17 Dec 2007 19:59:11 +0000

ESTO NO SIRVE

Por: ANA MILENA

ANA MILENA — Thu, 22 Feb 2007 19:25:33 +0000

por favor despcribir qn si en que consiste php

Por: swass

swass — Tue, 31 Oct 2006 18:03:45 +0000

Hola!

No he pensado mucho que ataques hacer pero ya que mysql_real_escape_string($_REQUEST['user']) no esta encerrado entre comillas, podríamos crear sentencias del tipo

SELECT id, name, email
FROM users
WHERE id = 5 OR 1=1

En este script no haría mucho daño en este caso, pero accederíamos a todos los usuarios en vez de a uno en concreto.

La cantidad de controles de a los arrays superglobales $_POST y $_GET podria evitarse metiendo el valor de "user" en una cookie, ya que el array $_REQUEST contiene los valores de $_GET, $_POST y $_COOKIE

Seguro que se pueden hacer ataques mucho mas malignos, bueno espero que mas o menos este encaminado.

Saludos

Por: alex

alex — Tue, 31 Oct 2006 16:07:56 +0000

Vá más o menos por ahí, ahora he cambiado un poco el código para "complicar" un poco las cosas

Por: farlopex

farlopex — Tue, 31 Oct 2006 15:50:41 +0000

¿Podría ser por ...?
if ( ( ! empty( $_GET['user'] ) && intval( $_GET['user'] )


tiene un bonito OR, o || y posteriormente un $_REQUEST en el SQL, es decir, podriamos pasar un $_GET['user'] = 'string'  y un $_POST['user'] = 4

Así pasamos la validación de este IF, lo que no se es exactamente como explotar el error

Por: alex

alex — Tue, 31 Oct 2006 13:00:11 +0000

ImZyos!, como comenté, el código solamente es referencial y hay muchos if para confundir a la audiencia .

Si, el código es vulnerable a Sql Injection, pero como se "explotaría" eso?