Evitar injection con formulario php

desoler · #1 (**permalink**) 26/02/2014, 20:49

Hola gente,
tengo un problema y no lo puedo solucionar.
Desde hace un tiempo que estoy recibiendo injection dentro de mi base de datos que provienen desde paginas web mias con formularios en php.
Esta es la imagen de este problema que no se como solucionarlo.

Alguien me puede echar una mano por favor.

Gracias por su tiempo

enlinea777 · #2 (**permalink**) 26/02/2014, 20:58

En PHP tenemos varias formas de hacerlo, entre ellas para bases de datos MySQL tenemos la función mysql_real_escape_string, que añadiremos en las variables que introducimos en la consulta.

Código PHP:

  $respuesta=mysql_query("SELECT * FROM `Usuarios` WHERE `user`='".mysql_real_escape_string($name)."' AND `pass`='".mysql_real_escape_string($password)."'")

origen: http://www.genbetadev.com/seguridad-...yeccion-de-sql

si buscas en google hay demaciada informacion

Alexis88 · #3 (**permalink**) 26/02/2014, 23:35

A lo acertadamente dicho por enlinea777, añado que también debes evitar los ataques XSS. Para ello, puedes emplear expresiones regulares o la función strip_tags().

Saludos

desoler · #4 (**permalink**) 27/02/2014, 06:33

Hola gente, gracias por responder.
He estado leyendo y me parece que la función mysql_real_escape_string() queda obsoleta en PHP5.5, esto es correcto?
Como sea, en mis paginas web, el archivo que inserta la información en la BD ya tengo puesta esta función, pero no evita la injección, por cada campo que recibo del formulario tengo esto:

Código PHP:

Ver original$first_name = mysql_real_escape_string($_POST['first_name']);
$last_name = mysql_real_escape_string($_POST['last_name']);
$phone = mysql_real_escape_string($_POST['phone']);
$email = mysql_real_escape_string($_POST['email']);

pero igual me inserta cualquier cosa.

Gracias

Alexis88 · #5 (**permalink**) 27/02/2014, 09:28

Cita:

Iniciado por desoler

He estado leyendo y me parece que la función mysql_real_escape_string() queda obsoleta en PHP5.5, esto es correcto?

Así es, de ahora en adelante debes utilizar la función mysqli_real_escape_string() de la extensión MySQLi. Por otro lado, dicha función no evita que insertes cualquier cosa, pues como dice en el apartado de esta función en el manual oficial:

Cita:

Iniciado por Manual oficial de PHP

Escapa los caracteres especiales de una cadena para usarla en una sentencia SQL, tomando en cuenta el conjunto de caracteres actual de la conexión.

Para validar el formato del contenido, usa expresiones regulares.

Saludos

rottenp4nx · #6 (**permalink**) 27/02/2014, 09:37

También usar sentencias preparadas o procedimientos almacenados

Saludos

desoler · #7 (**permalink**) 27/02/2014, 10:11

ok, es que no me funciona.
Esto es lo que trato de utilizar:

Código PHP:

Ver original$first_name = mysqli_real_escape_string($conexion, $_POST['first_name']);
 
$first_name = mysqli_real_escape_string($conexion, $first_name);
 
if (mysqli_query($conexion, "INSERT into datos (first_name) VALUES ('$first_name')")) {
echo "insercion correcta";
}else{
echo "fallo en la insercion";
}

y el error que me da es:

Código PHP:

Ver originalWarning: mysqli_real_escape_string() expects parameter 1 to be mysqli, resource given in ......
 
Warning: mysqli_query() expects parameter 1 to be mysqli, resource given in ......

Alexis88 · #8 (**permalink**) 27/02/2014, 10:19

Ten en cuenta que la conexión con la extensión MySQLi es un tanto distinta a la de MySQL. Esta información te servirá: http://www.php.net/manual/es/mysqli.construct.php

Saludos

desoler · #9 (**permalink**) 27/02/2014, 10:33

ok, Alexis88,

ya he leido y entiendo que debo cambiar todas mi conexiones, pero el resto del codigo es el correcto?, es asi como se debe aplicar?

gracias

Alexis88 · #10 (**permalink**) 27/02/2014, 14:53

Cita:

Iniciado por desoler

el resto del codigo es el correcto?, es asi como se debe aplicar?

Sí.

Saludos