Iniciar Sesion con cualquier contraseña
Hola a todos. Bien hoy tengo el proble que, a la hora de iniciar sesion, el usuraio puede ingresr cualquier contraseña y logra iniciar sesion. Aqui les dejo el codigo de login.php:
<?php $loginFormAction = $_SERVER['PHP_SELF']; if (isset($_GET['accesscheck'])) { $_SESSION['PrevUrl'] = $_GET['accesscheck']; } if (isset($_POST['user'])) { $loginUsername=$_POST['user']; $password=md5($_POST['password']); $MM_fldUserAuthorization = ""; $MM_redirectLoginSuccess = "../index.php"; $MM_redirectLoginFailed = "login_error.php"; $MM_redirecttoReferrer = false; mysql_select_db($database_conexion, $conexion); $LoginRS__query=sprintf("SELECT user, password, id, estado FROM z_users WHERE user=%s OR email=%s AND password=%s AND estado=1", GetSQLValueString($loginUsername, "text"), GetSQLValueString($loginUsername, "text"), GetSQLValueString($password, "text")); $LoginRS = mysql_query($LoginRS__query, $conexion) or die(mysql_error()); $row_ObtenerDeUser = mysql_fetch_assoc($LoginRS); $loginFoundUser = mysql_num_rows($LoginRS); if ($loginFoundUser) { $loginStrGroup = ""; if (PHP_VERSION >= 5.1) {session_regenerate_id(true);} else {session_regenerate_id();} //declare two session variables and assign them $_SESSION['MM_Username'] = $loginUsername; $_SESSION['MM_UserGroup'] = $loginStrGroup; $_SESSION['MM_Id'] = $row_ObtenerDeUser['id']; if (isset($_SESSION['PrevUrl']) && false) { $MM_redirectLoginSuccess = $_SESSION['PrevUrl']; } header("Location: " . $MM_redirectLoginSuccess ); } else { header("Location: ". $MM_redirectLoginFailed ); } } ?>Gracias por leer!
0
Puntos
Puntos
1289
Visitas
Visitas
2
Resp
Resp
Por rhcp-hero hace 121 meses
Principiante
Respuesta #1
buenas solo tienes que cambiar esto
$LoginRS__query=sprintf("SELECT user, password, id, estado FROM z_users WHERE user=%s OR email=%s AND password=%s AND estado=1", GetSQLValueString($loginUsername, "text"), GetSQLValueString($loginUsername, "text"), GetSQLValueString($password, "text"));por esto
$LoginRS__query=sprintf("SELECT * FROM z_users WHERE user=%s AND password=%s OR email=%s AND password=%s AND estado=1", GetSQLValueString($loginUsername, "text"), GetSQLValueString($password, "text"), GetSQLValueString($loginUsername, "text"), GetSQLValueString($password, "text"));
10
Puntos
Puntos
Por alber hace 121 meses
Administrador
Respuesta #2
Muchisimas gracias me funciono!!!!
5
Puntos
Puntos
Por rhcp-hero hace 121 meses
Principiante