PHP OO Class Anti-XSS, Anti SQL Injection

August · #1 (**permalink**) 14/12/2010, 14:33

Código PHP:

Ver originalclass seguridad{
    function decode($source) {
        $source = html_entity_decode($source, ENT_QUOTES, "ISO-8859-1");
        //$source = preg_replace('/&#(\d+);/me',"chr(\\1)", $source);
        //$source = preg_replace('/&#x([a-f0-9]+);/mei',"chr(0x\\1)", $source);
        $source=preg_replace('[^A-Za-z0-9_]','',$source);
        return $source;
    }
    function safeSQL($source, &$connection) {
        if (is_array($source)) {
            foreach($source as $key => $value)
                if (is_string($value)) $source[$key] = $this->quoteSmart($this->decode($value), $connection);
            return $source;
        } else if (is_string($source)) {
            if (is_string($source)) return $this->quoteSmart($this->decode($source), $connection);
        } else return $source;    
    }
    function quoteSmart($source, &$connection) {
        if (get_magic_quotes_gpc()) $source = stripslashes($source);
        $source = $this->escapeString($source, $connection);
        return $source;
    }
    function escapeString($string, &$connection) {
        if (version_compare(phpversion(),"4.3.0", "<")) mysql_escape_string($string);
        else mysql_real_escape_string($string);
        return $string;
    }
    
    public function printf_array($elementosql,$link){
        $sqlfiltrado=$this->safeSQL(array_shift($elementosql), $link);
        return vprintf($sqlfiltrado,$elementosql);
    }
}
 
        include("db.php");
        $seguridad=new seguridad;
$consulta[0]="UPDATE `usuarios` SET `intentos`='%s',`ja`='%s' WHERE `usuario` = 'a'";
$consulta[1]="Augusto/·%";
$consulta[2]="Algo%/";
echo $seguridad->printf_array($consulta,$link);

Deberia aparecer sin caracter extraños, pero todavia aparece asi

UPDATE `usuarios` SET `intentos`='Augusto/Â·%',`ja`='Adriana%/' WHERE `usuario` = 'a'85

Lo raro es el 85, de donde sale

Que es lo que esta mal?

Para que me aparescan todavia los caracteres extraños, si en la primera funcion, elimino todos esos caracteres extraños con esta linea

$source=preg_replace('[^A-Za-z0-9_]','',$source);

Saludos y gracias de antemano

Triby · #2 (**permalink**) 14/12/2010, 15:08

Tienes que escapar cada dato por separado, antes de armar la consulta, de lo contrario:

$consulta = "update tabla SET campo = 'contenido del campo'";

mysql_real_escape_string() escapara las comillas que delimitan el contenido del campo.

Por otra parte, ejecutar simplemente mysql_real_escape_string($variable) no funciona, debes asignar el resultado a otra (o la misma) variable:

$variable = mysql_real_escape_string($variable);

Mas info en el manual de PHP.

August · #3 (**permalink**) 14/12/2010, 15:35

De hecho la idea de usar mysql_real_escape_string($variable) lo tome de phpclasses, modifique la classe, aunque este mal usado mysql_real_escape_string, aunque sea

Deberia funcionar $source=preg_replace('[^A-Za-z0-9_]','',$source); , no crees?

Rescribire la clase si tengo un problema te aviso en este mismo hilo

August · #4 (**permalink**) 14/12/2010, 16:49

Código PHP:

Ver originalclass seguridad{
 
    function limpiar($value){
        $value=preg_replace('[^A-Za-z0-9_]','',$value);
        if (get_magic_quotes_gpc()){
            $value = stripslashes($value);
        }
        return $value;
    }
    function recursivo($matriz){
        if (is_array($matriz)){  
            foreach($matriz as $key=>$value){
                if (is_array($value)){  
                    $this->recursivo($value);
                }else{  
                    $value=$this->limpiar($value);        
                }    
            }
 
        }else{
            $value=$this->limpiar($matriz);
        }
        return $value;
    }
    
    public function printf_array($elementosql){
        $sqlfiltrado=$this->recursivo(array_shift($elementosql));
        return vprintf($sqlfiltrado,$elementosql);
    }
}
 
$consulta[0]="UPDATE `usuarios` SET `intentos`='%s',`ja`='%s' WHERE `usuario` = 'a'";
$consulta[1]="valor1?";
$consulta[2]="valor2%/";
echo $seguridad->printf_array($consulta);

Esto no esta funcionando

$value=preg_replace('[^A-Za-z0-9_]','',$value);

Pues esta escribiendome esto

UPDATE `usuarios` SET `intentos`='valor1?',`ja`='valor2%/' WHERE `usuario` = 'a'82

Me muestra signos y no deberia que estoy haciendo mal??

ya quite el mysql_real_escape_string

pateketrueke · #5 (**permalink**) 14/12/2010, 17:01

lo que sucede es que el método limpiar() no es aplicado como debe, y es fácil de observar esto en printf_array()

pues ahí solo se limpia la consulta, y los demás argumentos se dejan intactos...

una solución sería aplicar el método de limpieza al arreglo $elementosql con array_map() antes de ser usado con vprintf()

Triby · #6 (**permalink**) 14/12/2010, 17:11

El problema no es con mysql_real_escape_string, sino con la forma en que estas creando tu clase:

Código PHP:

Ver originalif (is_array($value)){  
                    $this->recursivo($value); // Aqui deberias asignar el resultado a una variable
                    // Ejemplo: $value = $this->recursivo($value);
             }else{  
                    $value=$this->limpiar($value);        
             }

Si no asignas el resultado a una variable, este valor se perdera (?) conservando el original, es el mismo problema que tenias en el primer script.

August · #7 (**permalink**) 15/12/2010, 17:28

Hola pateketrueke y Triby

Oigan tengo una pregunta, no es una vulnerabilidad, tener una funcion recursiva que acepte arrays infinitamente grandes, imaginense hacer un formulario incluso automatico con arrays de mil dimensiones, colgaria el servidor, no?

El problema lo resolvi, pero no fue por igualar una variable a la funcion, fue porque se esta reinicializando la variable y la borraba