Ataque a mi web por inyección mysql

Hola gente!!

Tras comprobar que mi servidor llevaba unos días excesivamente lentos me he encontrado viendo los logs de consultas a my sql lo siguiente:

where ID=1 and 5=6 union select concat(0x5E252421,ifnull(`userid`,0x4E5C4C),char(9 ),ifnull(`password`,0x4554C4C),char(9),ifnull(`ema il`,0x4EC4C),char(9),0x2B7D2F) from `basededatos`.`usaurios` where email like 0x25686F74696C2E25 limit 30483,1

Lo que está en rojo es el final de mi consulta, el nº 1 se pasa POR GET, y todo lo demás lo están inyectando pero no se como!!

La variable ID para recibirla le aplico strip_tags pero no se si es suficiente para evitar esto.

El caso es que no se como lo están haciendo, si pasan esa variable externamente o directamente desde la url, pero el caso es que me llegan cientos de consultas así

Ayuda por favor!!

Si la pasas directamente por GET es por eso que te estan haciendo una inyeccion, si tu variable es del tipo INT es mejor comprobar:

O aún mejor usar consultas preparadas con PDO para realmente limpiar mejor las variables (aunque siempre es bueno que compruebes los valores).

Recuerda: NUNCA confies en el input que viene desde el cliente (cookies, get, post, archivos).

Saludos.

Muchas gracias, donde puedo consultar información del PDO?

Por cierto, sabéis que hace exactamente esa consulta que me han lanzado a miles? Pueden haberme sacado alguna contraseña?

Gracias!! Que disgusto :(

Sí al parecer estan tratando de seleccionar campos de tu base de datos.

http://www.php.net/pdo

Es un disgusto, pero no te lo tomes a mal, es tu tarea como programador el hacer una web lo más segura posible.

Saludos.

Aprovecho para preguntar, ya que tiene relación con esto e igual le sirve al autor del post.

Ultimamente estoy encontrando post de este estilo, mi pregunta:

Es posible mediante algún tipo de técnica, saltarse un str_replace?

Si tienes claro que datos vas a obtener, tienes claro que caracteres no permitir.

Pero me queda esa duda, si hay posibilidad de que se salten eso.

Saludos,

No, no se puede "brincar" un str_replace, sí esta dentro de tu código, se va a ejecutar con el flujo de tu programa.

Saludos.

Crees que debería cambiar contraseñas o algo?

Tengo miedo a las consecuencias de este ataque

¿que tipo de seguridad se puede implementar con str_replace?

Seguridad, pues solamente el reemplazar carácteres que no requieras, es mucho mejor usar PDO para eso ya que usando prepared statements, limpias las variables de una forma más correcta.

Saludos.

Estoy viendo que con PDO tendré que cambiar todo el código, pues cambia la manera de conexión, e incluso de consultar.

Lo que no me queda claro que función dentro de PDO es la que limpia las variables

gracias!!

Cuando creas un query con prepared statements:

Saludos.

se puede ver como haces esa consulta? el codigo en si?

Ya que se habla de seguridad, quería hacer una consulta.
Una vez leí por ahí que para evitar ataques de inyeccion sql era aconsejable no poner nombres muy evidentes a los campos de la tabla. Así, por ejemplo, era mejor poner passw_123412 en vez de password, etc. ¿Es esto correcto?, ¿ayuda en algo eso o es una solución demasiado simplista?

Gracias. Un saludo.

Pues ayuda, aunque sí dejas pasar un hacker hasta el punto que puede ejecutar consultas en tu BDD, creo tienes más problemas, es mejor tratar de evitar que lleguen hasta ese punto y frenarlos en la entrada.

Saludos.

vaya que si es molesto que hagan eso, pero es muy común, y no solo en las variables $_GET, actualmente enviar datos alterados por $_POST es muy fácil también con herramientas como google Chrome

Cuando haces un envió por get tu url queda algo así:


tu tomas ese valor y lo pones en una sentencia mysql y queda algo asi:


lo que se convierte en:


pero que pasa si un usuario cambia la url a esto?


pues, que tu sentencia queda así:


y pierdes toda esa tabla de la base de datos.

Para evitar este tipo de cosas tal como te dijo GatorV asegúrate de que los campos numéricos sean numéricos (is_numeric($variable);) y si son textos reemplaza todos los ' por \' (str_replace("'","\'",$variable);)

algunos se creen hackers pero es tu deber demostrarles que son noobs!

tienes suerte de que estén ayudandote rápido con esto, es algo que no debes dejar pasar mucho tiempo mas.

que consigue exactamente (str_replace("'","\'",$variable);)

Tengo que aplicar todo tanto a lo que pasa por get como por post?

Mil gracias señores!! ;)

te recomiendo que si uses validaciones por $_POST, aunque sea poca la gente que sepa modificar estos valores las hay.

str_replace("'","\'",$variable);
Esta instruccion reemplaza todas las ' por \' lo que evita que las cadenas se rompan, por ejemplo, en el caso anterior:

"Select * FROM tabla where variable1='variable';DELETE FROM tabla"

se convertiría en

"Select * FROM tabla where variable1='variable\';DELETE FROM tabla'"

lo que salvaría tu tabla de la muerte XD

De nuevo muchas gracias.

Para validad los formularios, tengo areas de texto, como evito ahí código malicioso?

Gracias

En lugar de usar ese str_replace es mejor usar addslashes() o aún mejor si estas usando MySQL mysql_escape_string().

Saludos.

Holas,

Recomiendo que use el:

mysql_real_escape_string

Y haga un repaso absoluto de todas la entradas GET y POST, y cambia los accesos de tu base de datos.

Saludos
Gildus

No entiendo muy bien que hace mysql_real_escape_string La web de php no me lo deja muy claro...

:)

Ahora le echo un vistazo, muchas gracias :)

No obstante, para las variables que tienen que ser números con comprobar que realmente son números me valdría verdad?

En primer lugar daos las gracias a todos por los aportes, me han aclarado muchas dudas.

Con una función como esta solucionariamos "mas o menos " el problema?
Saludos,

si, pero usa is_numeric(), no uses is_int().

si, pero como dijeron mas arriba, hay funciones que ya lo hacen y no olvides validar los números también :)

Recuerden algo importante, si bien la función que pone Uncontroled_Duck podría verse bien, es importante que no generalizemos, limpia cada variable por lo que necesita, si necesitas números, ¿para que ocupar esa función?.

Es mejor tratar cada variable para el dato que necesites, el filtrar todo POST, o GET no tiene caso si solo vas a usar una variable, es mejor tener el control exacto de que variable vas a ocupar y que tipo de dato debe de contener.

Saludos.

Digamos que sería una base, después habría que hacer tantas funciones como distintos tipos de datos queremos recoger.

GatorV, como podríamos validar los números?

Tienes algún enlace a mano donde se puedan ver esas funciones.

Gracias por dedicarnos vuestro tiempo,

is_numeric();

puedes encontrar todas las funciones existentes de PHP en el manual de php.net:

http://php.net/manual/en/function.my...ape-string.php
http://php.net/manual/en/pdo.prepared-statements.php

O mejor aún usar ctype para detectar que tipo de dato es exactamente, ya que las peticiones por via POST o GET se reciben como string.

Interesante.

stramin, voy a echar un vistazo a esas funciones.

Gracias,

sip, por eso le dije que no usara is_int() XD

por cierto alguien se fijo de que en la inyección sql la consulta dice " and 5=6 " XD