Publicado em 9 de jan.

Alguém sabe me dizer se esta validação é segura contra Injection?

Boa tarde pessoal gostaria de saber se esta página é segura contra sql injection e o que posso fazer caso não seja.

<?php

//conecta com o db

include ("conexao.php");

$usuario= $_POST['usuario'];
$senha = $_POST['senha'];

$usuario = mysql_escape_string($usuario);
$senha = mysql_escape_string($senha);

$usuario = htmlspecialchars($usuario, ENT_QUOTES);
$senha = htmlspecialchars($senha, ENT_QUOTES);

//faz a confirmação de nome e senha no db

$logar = mysql_query("

SELECT * FROM tabela
WHERE user='$usuario' AND password='$senha'
") or die("erro ao selecionar");

if($senha == "" || $usuario == ""){
 header('location:erro.php');

}else if(mysql_num_rows($logar)>0 ){
@session_start(); //iniciamos a sessão

 $_SESSION["login"] = "logado"; // nomeamos a sessão
 header('location:gerenciador.php');

}else{

 header('location:erro.php');
}

?>

Discussão (12)

Entre ou cadastre-se para participar da discussão

Entrar Criar conta

Carregando comentários...