[SOLUCIONADO] como prevenir esta inyección 'or '1'='1

wilson_romero · #1 (**permalink**) 04/03/2016, 21:50

hola como le conté estoy empesando en esto de php y mysql y encontré un video para hacer un login sencillo y resulta que luego lo pruebo con esta simple inyeccion y resulto que la inyección paso muy fácil.
Me gustaría saber como puedo protejer mi código de esta inyección gracias.

este es el código de my practica

Código HTML:

Ver originalform action="proceso.php" method="POST">
    
    Nombre: <input type="text" name="usuario" value="" placeholder="usuario....."><br>
    
    Pass: <input type="text" name="contrasena" value="" placeholder="Contrasena..."><br>
    <input type="submit" value"aceptar" /></form><br>
</form>

PHP

Código PHP:

Ver original<?php
 
session_start(); 
 
$usuario = $_POST['usuario'];
$contrasena = $_POST['contrasena'];
 
include("conexion.php");
 
$proceso =  mysqli_query($conexion,"SELECT * FROM usuarios WHERE usuario='$usuario' AND contrasena='$contrasena'");
 
//$proceso = $conexion->query("SELECT * FROM usuarios WHERE usuario='$usuario' AND contrasena='$contrasena'"); //$mysqli->query () dice que mysql ejecute el query
 
    if($resultado = mysqli_fetch_array($proceso))
    {
        $_SESSION['u_usuario'] = $usuario;
        header("location: sesion.php");
        
    }
    else 
    {
        echo "calve erronea" ;
    }
 
?>

gnzsoloyo · #2 (**permalink**) 04/03/2016, 22:21

Como primera medida, ponle el terminador de sentencia a la query en MySQL. Es el punto y coma (; ).
De ese modo cualquier cosa que le agreguen a la query quedará fuera de ella y disparará un error de sintaxis.

Luego, si quieres seguridad, No hagas consultas directas. Usa Stored Procedures, que son invulnerable al sql-injection.

xerifandtomas · #3 (**permalink**) 05/03/2016, 02:22

Puedes escapar los datos recibidos antes de usarlos en tu sentencia con mysqli_real_escape_string

gnzsoloyo · #4 (**permalink**) 05/03/2016, 08:19

Yo te sugeriría mejor que vayas al manual de referencia de PHP, que tiene un capitulo especifico dedicado al tema...

Manual de PHP - Seguridad - Seguridad en bases de datos - Inyección de SQL

El articulo es largo, pero muy bien escrito.

Posdata: Solo escapar los datos recibidos no resuelve el problema. Esa función apunta a impedir que los datos insertados rompan la sintaxis de la SQL original, pero no evitará que haya sql-injection.

Cita:

mysqli::real_escape_string -- mysqli_real_escape_string — Escapa los caracteres especiales de una cadena para usarla en una sentencia SQL, tomando en cuenta el conjunto de caracteres actual de la conexión

wilson_romero · #5 (**permalink**) 05/03/2016, 13:54

los ariculos son muy largos y no lo entiendo mucho, fuera bien que pusieran mi codigo protejido seria mas facil por fa

rodocoyote15 · #6 (**permalink**) 05/03/2016, 14:24

Un café no quisieras tambien?

El foro está para resolver dudas, no para que te hagan el código y listo, funcionando al 100. Siempre tenemos que esforzarnos en algún momento, si no de nada servirá. Sólo un consejo :D

rbczgz · #7 (**permalink**) 05/03/2016, 14:26

Cita:

Iniciado por wilson_romero

los ariculos son muy largos y no lo entiendo mucho, fuera bien que pusieran mi codigo protejido seria mas facil por fa

Hola wilson_romero,

Claro que los artículos son muy largos, pero todos los tenemos que leer para hacer lo que necesitamos, y claro que es más fácil si te lo damos hecho, pero este foro no funciona así, si necesitas que te den el código hecho, te recomiendo que publiques tus requerimientos en este foro, ya que aquí lo que se hace es ayudar, que no es lo mismo que hacer el trabajo de los demás por la cara.

gnzsoloyo · #8 (**permalink**) 05/03/2016, 15:56

Cita:

Iniciado por wilson_romero

los ariculos son muy largos y no lo entiendo mucho, fuera bien que pusieran mi codigo protejido seria mas facil por fa

El libro de "Fundamentos de las Bases de Datos" de Silberschatz tiene más de 900 páginas... Y tienes que aprender al menos el 80% de lo que allí se expone para aprobar BBDD, y es sólo lo general. Seguridad en BBDD es toda una especialidad.

¿En serio una pagina web resumida te parece demasiado?

Si quieres aprender, tienes que leer. Nadie puede aprender por ti.
Y para lograr que otros hagan tu trabajo, tendrías que pagar...

wilson_romero · #9 (**permalink**) 05/03/2016, 21:34

voy a leer pero no entiendo mucho de eso vamos a ver que al.

wilson_romero · #10 (**permalink**) 05/03/2016, 22:26

lo ley y no entiendo

gnzsoloyo · #11 (**permalink**) 05/03/2016, 22:35

No entiendes qué?
Trata de ser concreto.

wilson_romero · #12 (**permalink**) 05/03/2016, 23:16

gnzsoloyoya puede entender lo que me decias lo encontre en esta web es que no me dijit donde poner el codigo y de verdad yo no entiende ese manual los ejemplos super raros no lo entiendo de verdad y me dices que tampoco esto no es muy seguro que no esta seguro de ataques.
Como te proteges tu ya que esto que se le agrega al codigo no estan seguro como es mejor me gustaria saber tieen alguan web que no sea en china para mi ;) :P : )

ESTE ES EL CÓDIGO SI ALGUIEN LO NECESITA
agregar en la petition (consulta msql) de esta froma con mysql_real_escape_string

Código PHP:

Ver original$proceso =  mysqli_query($conexion, "SELECT * FROM usuarios WHERE usuario='".mysql_real_escape_string($usuario)."' AND contrasena='".mysql_real_escape_string($contrasena)."'");

Código PHP:

Ver original<?php
 
session_start(); 
 
$usuario = $_POST['usuario'];
$contrasena = $_POST['contrasena'];
 
include("conexion.php");
 
$proceso =  mysqli_query($conexion, "SELECT * FROM usuarios WHERE usuario='".mysql_real_escape_string($usuario)."' AND contrasena='".mysql_real_escape_string($contrasena)."'");
 
//$proceso = $conexion->query("SELECT * FROM usuarios WHERE usuario='$usuario' AND contrasena='$contrasena'"); //$mysqli->query () dice que mysql ejecute el query
 
    if($resultado = mysqli_fetch_array($proceso))
    {
        $_SESSION['u_usuario'] = $usuario;
        header("location: sesion.php");
        
    }
    else 
    {
        echo "calve erronea" ;
    }
 
?

xerifandtomas · #13 (**permalink**) 07/03/2016, 04:36

Cita:

Iniciado por gnzsoloyo

Yo te sugeriría mejor que vayas al manual de referencia de PHP, que tiene un capitulo especifico dedicado al tema...

Manual de PHP - Seguridad - Seguridad en bases de datos - Inyección de SQL

El articulo es largo, pero muy bien escrito. Pero...

Posdata: Solo escapar los datos recibidos no resuelve el problema. Esa función apunta a impedir que los datos insertados rompan la sintaxis de la SQL original, pero no evitará que haya sql-injection.

Entiendo que antes de hacer una consulta a la base, se deben validar y escapar adecuadamente los datos.

Según el manual una injeccion sql es una técnica donde un atacante crea o altera comandos SQL existentes para exponer datos.

Si como tu mismo indicas mysqli_real_escape_string impide que se rompa la sintaxis sql, pude ser suficiente (pienso). Es verdad que para prevenir el mismo manual nos indica que se establezca el conjunto de caracteres de la conexión ya que se utilizará este conjunto de caracteres para escapar la cadena. Pero esto en si mismo entiendo que hace más robusta la función, ya que se escapan los datos con el juego de caracteres de la bd.

En el manual también encontramos

Cita:

Esta función siempre debe usarse (con pocas excepciones) para hacer seguros los datos antes de enviar una consulta a MySQL.]Esta función siempre debe usarse (con pocas excepciones) para hacer seguros los datos antes de enviar una consulta a MySQL.

He buscado sobre como hacer injeccion cuadro se utiliza mysqli_real_escape_string, pero no e logrado encontrar nada, con esto no pretendo decir que sea imposible.

Mi cuestión es ¿ por qué es inseguro usar solamente mysqli_real_escape_string ? ¿ o en que aspecto puede ser vulnerable una sentencia en la que se escapan los tados con mysqli_real_escape_string ?

Gracias, por la ilustración maestro.

wilson_romero · #14 (**permalink**) 07/03/2016, 22:36

Buena pregunta xerifandtomas