Como prevenir SQL Injection

gilberdesigns · #1 (**permalink**) 23/03/2012, 09:30

Hola! me gustaria saber como prevenir este problema que esta tan de moda... ¿hay alguna especie de clase, funcion o filtro que se aplique de forma facil y proteja nuestro trabajo?

Utilizo AdoDB, por si alguien sabe la forma en concreto para este framework, aun asi, cualquier ayuda o indicación me vale.

Gracias chicos.

EDIT:

He leido que se puede usar esto:

mysql_real_escape_string($usuario),
mysql_real_escape_string($password);

¿se usaria asi?

$usuario = mysql_real_escape_string($_POST['usuario']);

GRACIAS!

weissbier · #2 (**permalink**) 23/03/2012, 10:06

Exacto, usa mysql_real_escape_string() para evitar la injección SQL. Con eso y limitando los valores que contiene tu variable... no tendrás problemas.

JairLizcano · #3 (**permalink**) 23/03/2012, 10:40

Anexo a weissbier:

Personalmente me baso en permisos de usuario en el gestor de base de datos y expresiones regulares aplicadas tanto en cliente como en servidor para limitar las entradas de datos.

Y por si en algún caso debo llevar caracteres especiales a mi base de datos utilizo htmlspecialchars(), evitando incoherencia a la hora de mostrar los registros.

Documentación: http://php.net/manual/es/function.htmlspecialchars.php

masterojitos · #4 (**permalink**) 23/03/2012, 11:11

Bueno, para este tipo de ataque, yo haría algo así:

En el archivo determinado, de esta forma escapo los caracteres:

Código PHP:

  $id = scape($_POST['formID']);

Y esa función obviamente estaría en un archivo de funciones, así:

Código PHP:

  function scape($text){
  if(!get_magic_quotes_gpc()) $text = addslashes($text);
  return trim($text);
}

NOTA. Esto es solo una forma de prevenir un ataque a tu base de datos, puesto que existen muchas maneras de atacar... y para eso, ya tendrias que ver temas bien detallados sobre ataques a la base de datos.

Suerte

gilberdesigns · #5 (**permalink**) 23/03/2012, 12:27

Gracias por responder, lo tengo claro entonces.

Masterojitos que le estas diciendo que haga a esa funcion? que si no existen magic_quotes que haga / delante de las ' ?¿

OsSk4R · #6 (**permalink**) 23/03/2012, 12:41

Otra opción muy interesantes sería usar PDO y sus consultas preparadas. evitando así inyecciones SQL.

Realmente PDO ofrece más ventajas como el permitirte conectarte a otros motores como PostgreSQL, SQLite, etc.

Saludos,

masterojitos · #7 (**permalink**) 23/03/2012, 14:09

gilberdesigns, SI ^^
Ya que si tienes activado magic_quotes, este escapa las comillas, de tenerlo desactivado, ahi es cuando se utiliza addslashes.
Y toma muy encuenta lo de OsSk4R, ya que eso tambien te lo hiba a sugerir, pero al ver que usabas ADODB, pues seria un poco dificil cambiar todo el codigo de tu proyecto a PDO.... pero si tienes la oportunidad.... usa PDO ;)
Suerte

x3xtres · #8 (**permalink**) 23/03/2012, 16:53

Una cosa, yo uso el objeto pdo para conectar a la base de datos y utilizo sus comandos para ejecutar consultas y aún así pude inyectar código sql. Hice una prueba y receurdo que en el login o password, si ponía algo como '"drop table usuarios"'; lo insertaba como código sql en la consulta y la ejecutaba ( lo que puse no es exacto, lo estoy haciendo a ojo ) qué tendría que hacer para evitar algo así ?

lambar · #9 (**permalink**) 24/03/2012, 08:13

ésta es la función que utiliza oscommerce y la que yo utilizo

Código PHP:

  function tep_db_input($string, $link = 'db_link') {
  global $$link;

  if (function_exists('mysql_real_escape_string')) {
    return mysql_real_escape_string($string, $$link);
  } elseif (function_exists('mysql_escape_string')) {
    return mysql_escape_string($string);
  }

  return addslashes($string);
}

neuronic · #10 (**permalink**) 24/03/2012, 10:11

yo utilizo esa función, si tienes instalado php 5.3 puedes filtrar con varfilter

Código PHP:

Ver originalfunction SanitizeInputSQL($dirty_input) {
    if (get_magic_quotes_gpc()) $value = stripslashes($dirty_input);
    $value = mysql_real_escape_string($dirty_input);
    return $value;
}

Extraida de [URL="http://www.webserveis.com/115/sanitizar-entrada-prevenir-inyeccion-sql-en-php/"]aqui[/URL]

gilberdesigns · #11 (**permalink**) 24/03/2012, 11:04

Gracias a todos!

Voy a darle caña a ver ;)