¿Como validar que el usuario NO ingrese codigo SQL en un formulario?

info4 · #1 (**permalink**) 06/07/2012, 10:09

Hola a todos...
Estoy haciendo una aplicacion web en la cual se crea un registro, pero para seguridad se pide que no sea posible la insercion de codigo SQL en el formulario, ¿Como puedo validar e impedir que esto suceda?

Gracias por sus respuestas y su amable ayuda

maycolalvarez · #2 (**permalink**) 06/07/2012, 10:18

usa técnicas de filtrado de SQL inyection, pero éso solo se hace en el servidor, JS no tiene nada que ver

ocp001a · #3 (**permalink**) 06/07/2012, 14:13

Bueno, no es que js no tenga nada que ver...

Podrías eliminar palabras clave de sql, mediante una lista, si estás seguro que esas palabras no deberían ingresar en tu formulario.

Desde luego, siempre es necesario filtrar los recibido del lado del servidor, por si javascript no estaba activo o si intencionalmente se enviaron datos tipo sql.

maycolalvarez · #4 (**permalink**) 06/07/2012, 14:57

exacto, solo dije que js no va al caso porque siempre se debe validar en el server, @info4 recuerda que validar en JS es opcional

emprear · #5 (**permalink**) 06/07/2012, 18:56

Cita:

Iniciado por info4

Hola a todos...
Estoy haciendo una aplicacion web en la cual se crea un registro, pero para seguridad se pide que no sea posible la insercion de codigo SQL en el formulario, ¿Como puedo validar e impedir que esto suceda?

Gracias por sus respuestas y su amable ayuda

si es tan solo para el sql, mysql_real_escape_string(), te debería bastar.
Ahora que para el resto
filter de php
strip_tags()
htmlspecialchars()
expresiones regulares
etc.

incluso desde el .htaccess de apache, podés hacer cosas como esta

Código Apache:

Ver originalRewriteEngine On
#Prevenir leechers, bots y otras porquerias
RewriteCond %{HTTP_USER_AGENT} ^$ [OR]
RewriteCond %{HTTP_USER_AGENT} ^(-|\.|') [OR]
RewriteCond %{HTTP_USER_AGENT} ^(.*)(<|>|%3C|%3E)(.*) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^(java|curl|wget)(.*) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^(.*)(libwww-perl|libwwwperl|snoopy|curl|wget|winhttp|python|nikto|scan|clshttp|archiver|loader|email|harvest|fetch|extract|grab|miner|suck|reaper|leach)(.*) [NC,OR]
 
#Prevenir inyección SQL, XSS, GET
RewriteCond %{REQUEST_URI} ^(/,|/;|/<|/>|/'|/`|/%2C|/%3C|/%3E|/%27|/////) [NC,OR]
RewriteCond %{HTTP_REFERER} ^(.*)(%00|%08|%09|%0A|%0B|%0C|%0D|%0E|%0F|%2C|<|>|'|%3C|%3E|%26%23|%27|%60)(.*) [NC,OR]
RewriteCond %{QUERY_STRING} ^(.*)(%00|%08|%09|%0A|%0B|%0C|%0D|%0E|%0F|%2C|%3C|%3E|%27|%26%23|%60)(.*) [NC,OR]
RewriteCond %{QUERY_STRING} ^(.*)('|-|<|>|,|/|\\|\.a|\.c|\.t|\.d|\.p|\.i|\.e|\.j)(.*) [NC,OR]
RewriteCond %{HTTP_COOKIE} ^(.*)(<|>|'|%3C|%3E|%27)(.*) [NC]
 
RewriteRule ^(.*)$ /error.shtml [NC,L]

Y si pensás en validación, olvidate de que existe javascript, asi de simple.
Saludos

leonardo308 · #6 (**permalink**) 06/07/2012, 21:43

Validar del lado del cliente no evita las injecciones SQL, aunque para responderte a tu pregunta puedes utilizar expresiones regulares y alli indicar que caracteres quieres aceptar. e aqui un ejemplo basico.

Código Javascript:

Ver original<script>
function validar(e,expresion_regular){
    return expresion_regular.test(String.fromCharCode(e.which));
    }
</script>
<input type="text" onkeypress="return validar(event,/[a-z]/)" />

Lo unico que tienes que cambiar es la expresion regular /[a-z]/ en cada campo de texto.

Con respecto a mysql_real_escape_string(), esa funcion esta descontinuada.
Yo personalmente utilizo FILTER_SANITIZE_SPECIAL_CHARS, asi el usuario escribe lo que sea y queda libre de injeccion sql.
Tambien puedes utilizar MySQLi o PDO_MySQL.

emprear · #7 (**permalink**) 06/07/2012, 22:18

Cita:

Iniciado por leonardo308

Validar del lado del cliente no evita las injecciones SQL, aunque para responderte a tu pregunta puedes utilizar expresiones regulares y alli indicar que caracteres quieres aceptar. e aqui un ejemplo basico.

Código Javascript:

Ver original<script>
function validar(e,expresion_regular){
    return expresion_regular.test(String.fromCharCode(e.which));
    }
</script>
<input type="text" onkeypress="return validar(event,/[a-z]/)" />

Lo unico que tienes que cambiar es la expresion regular /[a-z]/ en cada campo de texto.

Con respecto a mysql_real_escape_string(), esa funcion esta descontinuada.
Yo personalmente utilizo FILTER_SANITIZE_SPECIAL_CHARS, asi el usuario escribe lo que sea y queda libre de injeccion sql.
Tambien puedes utilizar MySQLi o PDO_MySQL.

Esta desaconsejado no discontinuada (como puede ser el caso de eregi()), lo que no es lo mismo.
Ya mencioné la extensión filter, pero lamentablemente muchos servidores no la tienen habilitada, además de que en muchos otros casos utilizan versiones viejas de php.
Asi que como alternativa todavía es válida.

info4 · #8 (**permalink**) 10/07/2012, 10:13

Hola que tal.
Antes que nada gracias por sus respuestas.

Bueno, lo de validar en el servidor me parece muy bien, sin embargo dudo mucho que yo como desarrollador tenga acceso al servidor, ya que es de otra compañia para la cual se hace la aplicacion, por ello he pedido que sea validado el formulario desde JS y pueda "evitarse" la inyeccion SQL, aunque como me comentan si es mejor hacerlo al servidor.

emprear · #9 (**permalink**) 10/07/2012, 10:39

Cita:

Iniciado por info4

Hola que tal.
Antes que nada gracias por sus respuestas.

Bueno, lo de validar en el servidor me parece muy bien, sin embargo dudo mucho que yo como desarrollador tenga acceso al servidor, ya que es de otra compañia para la cual se hace la aplicacion, por ello he pedido que sea validado el formulario desde JS y pueda "evitarse" la inyeccion SQL, aunque como me comentan si es mejor hacerlo al servidor.

@info4
Cuando en programación web se habla de validar del lado del servidor se habla de validar en un lenguaje que se ejecute del lado del servidor. (php por ejemplo)
Si tu código de validación está escrito en php, estás "validando en el servidor", y no es responsabilidad tuya si un tercero al cual le proporcionás la aplicación decide no usar y/o alterar dicho código.
Existen otros métodos que consisten en la habilitación ó instalación de herramientas por parte del Administrador del Server (hosting), como podría ser la de mod_security en Apache, obviamente en ese caso vos estás excluido de esa decisión.

En conclusión, vos, como "desarrollador" podés validar perfectamente del lado del servidor, si es que sabés php, por supuesto.

Saludos

info4 · #10 (**permalink**) 25/07/2012, 09:54

Cita:

Iniciado por emprear

@info4
Cuando en programación web se habla de validar del lado del servidor se habla de validar en un lenguaje que se ejecute del lado del servidor. (php por ejemplo)
Si tu código de validación está escrito en php, estás "validando en el servidor", y no es responsabilidad tuya si un tercero al cual le proporcionás la aplicación decide no usar y/o alterar dicho código.
Existen otros métodos que consisten en la habilitación ó instalación de herramientas por parte del Administrador del Server (hosting), como podría ser la de mod_security en Apache, obviamente en ese caso vos estás excluido de esa decisión.

En conclusión, vos, como "desarrollador" podés validar perfectamente del lado del servidor, si es que sabés php, por supuesto.

Saludos

Que tal
Pues a decir verdad, recién me he introducido en la parte de programación web debido al proyecto que estoy realizando, por ello no entiendo muchas cosas, por ende estoy aprendiendo php y javascript, dado mi poco conocimiento creí que podia ser validado con javascript, pero entonces el impedir la inyección de SQL lo puedo hacer con PHP, ¿Es correcto esto?
Saludos

maycolalvarez · #11 (**permalink**) 25/07/2012, 09:56

@info4: exactamente, es en el servidor donde debes evitarlo (sea PHP, JSP, ASP u otro), ya que usar sólo javascript es un riesgo, el usuario lo puede saltar o desactivar, lo puedes usar, pero sin dejar del lado la protección en el servidor.