Evitar sql injection?

AbdelioR · #1 (**permalink**) 05/03/2007, 09:00

Hola, estoy a punto de abrir mi web y estoy algo preocupado por el tema del sql injection. Por lo que he leido es un tema bastante importante a tomar en cuenta y me gustaria conocer vuestra opinión...

En la web tengo conexiones a la base de datos y consultas dinámicas que reciben parámetros para acceder a la base de datos. Por lo visto si algun usuario modifica los datos de la consulta, puede llegar a borrar tablas y cosas del estilo?

Que sistemas recomendais para evitar este problema? de los que he visto yo, el que me parece mas seguro es usar una cuenta de usuario sin privilegios administrativos, desde la que se realizarian todas las operaciones de consulta en la web. Como lo veis?

Si creeis que hay sistemas mejores.. podrias decirme algun buen manual con referencia a esto?

Tenia pensado abrir la web sin proteger los scripts pero después de leer me ha entrado el canguele xDD

Muchas gracias.

sergi_climent · #2 (**permalink**) 05/03/2007, 09:12

Hola AbdelioR,
si sigues el hilo veras q al final empiezan hablar de SQL Injection.. puede q te interese:
http://www.forosdelweb.com/showthrea...itar+injection

saludos

AbdelioR · #3 (**permalink**) 06/03/2007, 02:11

Gracias sergi_climent. Voy a echarle un ojo con calma.

Saludos.

MarioNunes · #4 (**permalink**) 06/03/2007, 02:59

Puedes usar la funcion addslashes:

http://de2.php.net/manual/es/function.addslashes.php

Un saludo.

AbdelioR · #5 (**permalink**) 06/03/2007, 13:58

Que opinais de esta funcion para evitar este problema? me la ha pasado un amigo y quiero saber que opinais vosotros :)

Código PHP:

    function antiinjection($str)

  {

    $banwords = array ("'", ",", ";", "--", " or ", ")", "(", " OR ", " and ", " AND ","/n","/r");

      if ( eregi ( "[a-zA-Z0-9]+", $str ) )

      {

        $str = str_replace ( $banwords, '', ( $str ) );

      } else {

        $str = NULL;

      }

    $str = trim($str);

    $str = strip_tags($str);

    $str = stripslashes($str);

    $str = addslashes($str);

    $str = htmlspecialchars($str);

     return $str;

  }

Saludos.

AbdelioR · #6 (**permalink**) 06/03/2007, 15:04

Bueno a parte de lo que os parezca la funcion... me ha surgido una dudilla.

Tengo un panel de comentarios en los que si el usuario escribe (( :) )) los :) se sustituyen por una carita. Pero si antes de introducir los datos a la base de datos, sustituyo estos caracteres... pues me quedo sin carita.

Que me aconsejais?

xknown · #7 (**permalink**) 06/03/2007, 20:26

Cita:

Iniciado por AbdelioR

Que opinais de esta funcion para evitar este problema? me la ha pasado un amigo y quiero saber que opinais vosotros :)

Código PHP:

    function antiinjection($str)
  {
    $banwords = array ("'", ",", ";", "--", " or ", ")", "(", " OR ", " and ", " AND ","/n","/r");
      if ( eregi ( "[a-zA-Z0-9]+", $str ) )
      {
        $str = str_replace ( $banwords, '', ( $str ) );
      } else {
        $str = NULL;
      }
    $str = trim($str);
    $str = strip_tags($str);
    $str = stripslashes($str);
    $str = addslashes($str);
    $str = htmlspecialchars($str);
     return $str;
  }

Saludos.

No uses ese tipo de funciones, generalmente sólo basta un poco de imaginación para evitarlos, dependiendo del lugar donde sean usadas.

Para cada tipo de problema, debes usar una solución adecuada...

Saludos

AbdelioR · #8 (**permalink**) 07/03/2007, 03:29

Que le falla a la funcion? Podrias decirmelo?

Gracias.

xknown · #9 (**permalink**) 07/03/2007, 06:36

Un ejemplo sencillo de SQL Injection:

Código PHP:

  $id=antiinjection('4 <>OR<> 1=1');

echo "select * from tabla where id = $id"

Como dije, ese tipo de funciones generalmente no sirven de mucho puesto que no todas las veces necesitas hacer los mismos filtros. Y tal como tu mismo comentas, al usar este tipo de cosas lo más seguro es que tengas problemas:

Cita:

Tengo un panel de comentarios en los que si el usuario escribe (( :) )) los :) se sustituyen por una carita. Pero si antes de introducir los datos a la base de datos, sustituyo estos caracteres... pues me quedo sin carita.

Saludos