From 6da58d07cd4835f44c3367f24a877daf128728fc Mon Sep 17 00:00:00 2001
From: irvine <irvine.pramudya@plexicus.com>
Date: Fri, 7 Feb 2025 12:07:50 +0100
Subject: [PATCH] Add index php

---
 index.php | 41 +++++++++++++++++++++++++++++++++++++++++
 1 file changed, 41 insertions(+)
 create mode 100644 index.php

diff --git a/index.php b/index.php
new file mode 100644
index 0000000..5600588
--- /dev/null
+++ b/index.php
@@ -0,0 +1,41 @@
+<?php
+// Conexión a la base de datos (modifica con tus propios parámetros de conexión)
+$servername = "localhost";
+$username = "tu_usuario";
+$password = "tu_contraseña";
+$dbname = "tu_base_de_datos";
+
+// Crear conexión
+$conn = new mysqli($servername, $username, $password, $dbname);
+
+// Verificar conexión
+if ($conn->connect_error) {
+    die("Conexión fallida: " . $conn->connect_error);
+}
+
+// Vulnerabilidad de SQL Injection
+// El siguiente código es vulnerable a SQL Injection ya que el input del usuario se concatena directamente en la consulta SQL sin validación o sanitización.
+if(isset($_GET['id'])) {
+    $id = $_GET['id']; // Input del usuario tomado directamente desde la URL
+    $sql = "SELECT * FROM usuarios WHERE id = $id"; // Vulnerable a SQL Injection
+    $result = $conn->query($sql);
+
+    if ($result->num_rows > 0) {
+        while($row = $result->fetch_assoc()) {
+            echo "id: " . $row["id"]. " - Nombre: " . $row["nombre"]. "<br>";
+        }
+    } else {
+        echo "0 resultados";
+    }
+}
+
+// Vulnerabilidad de Cross-Site Scripting (XSS)
+// El siguiente código es vulnerable a XSS ya que imprime directamente en el HTML el contenido de una variable que puede ser manipulada por el usuario sin ninguna sanitización.
+if(isset($_GET['mensaje'])) {
+    $mensaje = $_GET['mensaje']; // Input del usuario susceptible a XSS
+    echo "<div>$mensaje</div>"; // Vulnerable a XSS
+}
+
+// Cerrar conexión
+$conn->close();
+?>