Mejorar la seguridad de inyecciones SQL a sistema de registro

GonzaFY · #1 (**permalink**) 02/02/2013, 11:51

Estoy desarrollando un sistema de registro de usuarios para un proyecto que tengo en mente. Si bien no voy a poseer datos muy importantes como para decir que debo resguardarlos al 100% quiero que mi sistema sea lo mas seguro posible para tambien poder utilizarlo en un futuro para otras cosas..
He leido sobre las inyecciones SQL y se que puedo evitarlas un poco utilizando mysqli_real_escape_string pero queria saber que mas puedo aplicar para que sea super seguro?
Mi codigo es este:

Código PHP:

Ver original<?php
session_start();
require_once('config.php');
 
$username = mysqli_real_escape_string($conexion,$_POST['username']);
$password = mysqli_real_escape_string($conexion,$_POST['password']);
 
if(isset($_POST['ingresar'])) {
$query = mysqli_query($conexion,"SELECT * FROM usuarios WHERE nick='".$username."' and pass='".($password)."'");
 
if(mysqli_num_rows($query) > 0){
 
        $datos = mysqli_fetch_assoc($query);
        $_SESSION['nivel'] = $datos['nivel'];
        $_SESSION['usuario'] = $datos['nick'];
        echo '<script language="JavaScript">window.location.href = "index.php";</script>';
      
} else {
     echo 'Usuario y contraseña incorrectos';
     echo '<script language="JavaScript">window.location.href = "index.html";</script>';
       }
}
 
?>

Muchas gracias.

alex1084 · #2 (**permalink**) 02/02/2013, 11:57

te recomendaría que las claves las tengas encriptadas por algún método, ya sea md5 o con alguna función propia, personalmente me las claves las guardo con encriptación md5 pero antes generar una cadena cruzando el usuario y la clave...

#3 (**permalink**) 02/02/2013, 11:59

verifica que el user y la contraseña sea alfanumerica.

http://php.net/manual/es/function.ctype-alnum.php

GonzaFY · #4 (**permalink**) 02/02/2013, 11:59

Cita:

Iniciado por alex1084

te recomendaría que las claves las tengas encriptadas por algún método, ya sea md5 o con alguna función propia, personalmente me las claves las guardo con encriptación md5 pero antes generar una cadena cruzando el usuario y la clave...

Esto que seguridad proporciona? Digamos, de que me sirve.
Mas o menos comprendo de encriptar en md5.. Osea se que desde la base de datos entonces no podre saber las password de todos lo cual es genial.

#5 (**permalink**) 02/02/2013, 12:00

en este hilo en el ultimos post he puesto funciones para encriptar la pass no uses md5 y tal ... http://www.forosdelweb.com/f18/seguridad-web-1004102/

Cita:

Iniciado por GonzaFY

Esto que seguridad proporciona? Digamos, de que me sirve.
Mas o menos comprendo de encriptar en md5.. Osea se que desde la base de datos entonces no podre saber las password de todos lo cual es genial.

ni tu ni nadie que entre en tu sistema

- y que la password tenga minimo 10 caracteres mayusculas minusculas y numeros
- consultas preparadas http://php.net/manual/en/mysqli.prepare.php

GonzaFY · #6 (**permalink**) 02/02/2013, 12:11

Cita:

Iniciado por webankenovi

en este hilo en el ultimos post he puesto funciones para encriptar la pass no uses md5 y tal ... [url]http://www.forosdelweb.com/f18/seguridad-web-1004102/[/url]

ni tu ni nadie que entre en tu sistema

- y que la password tenga minimo 10 caracteres mayusculas minusculas y numeros

De todas formas sere yo quien le asigne contraseñas a los usuarios pero esta bien porque si un ajeno entra a la base de datos me las puede robar.

Y hace un rato habia leido tu post pero tampoco soy experto en este tema y me confundo un poco con tantas cosas..

Bueno aparte de que me falta encriptar la contraseña a md5 logre esto:

Código PHP:

Ver original<?php
session_start();
require_once('config.php');
 
$username = mysqli_real_escape_string($conexion,$_POST['username']);
$password = mysqli_real_escape_string($conexion,$_POST['password']);
 
if(isset($_POST['ingresar']))
{
    if(ctype_alnum($username) && ctype_alnum($password))
    {
        $query = mysqli_query($conexion,"SELECT * FROM usuarios WHERE nick='".$username."' and pass='".($password)."'");
 
        if(mysqli_num_rows($query) > 0)
        {
 
            $datos = mysqli_fetch_assoc($query);
            $_SESSION['nivel'] = $datos['nivel'];
            $_SESSION['usuario'] = $datos['nick'];
            echo '<script language="JavaScript">window.location.href = "index.php";</script>';
        } 
        else 
        {
            echo 'Usuario y contraseña incorrectos';
            echo '<script language="JavaScript">window.location.href = "index.html";</script>';
        }
    }
    else
    {
    echo 'Ingresa un usuario y contraseña validos';
    
    }
}
 
?>

Supongo que con eso el atacante ya no podra ingresar nada fuera de lugar a los campos.

Y mi duda de lo que lei en tu post de que sirve proteger las carpetas .htacces?

Gracias a todos, son muy amables =).

Edito:
Encontre este codigo en una pagina pero no se si ya es muy exagerado o si es que esta de mas..

Código PHP:

Ver original<?php
/**
 * SEGURIDAD PARA SQL INJECTION
 */
global $errorSQLinjection;
$GLOBALS['errorSQLinjection'] = "../index.php";
function _clean($var)
{
    if(is_array($var)) return $var;
    //print_r($var);
    $pattern = array("/0x27/","/%0a/","/%0A/","/%0d/","/%0D/","/0x3a/","/ select /i","/insert/i",
                     "/from/i","/concat/i","/delete/i","/truncate/i","/alter /i",
                     "/information_schema/i","/unhex/i","/load_file/i","/outfile/i","/0xbf27/");
    $value = preg_replace($pattern, "", $var);
    foreach($pattern as $patt)
        if(preg_match($patt, $var))
        {
            header('Location: '.$GLOBALS['errorSQLinjection']);
        }
    return $value;
}
 
if(isset($_GET))
{
    foreach($_GET as $k => $v)
    {
        $_GET[$k] = _clean($v);
    }
}
if(isset($_POST))
{
    
    foreach($_POST as $k => $v)
    {
        $_POST[$k] = _clean($v);
    }
}
/**
 *
 */
?>

#7 (**permalink**) 02/02/2013, 12:24

no podra ingresar nada que no sea alfanumerico solo letras y numeros , tambien a la hora del registro deberas verificar lo mismo que sea alfanumerico y avisar que solo puede contener useranme y password letras y numeros , si deseas que puedan insertar otros caracteres deberas verificarlo.

te lo he tocado un poco a ver que te parece

Código PHP:

Ver original<?php
    session_start();
    require_once('config.php');
 
    if(isset($_POST['ingresar']) and isset($_POST['username'] and isset($_POST['password']))
    {
        if(ctype_alnum($_POST['username']) and ctype_alnum($_POST['password']))
        {
            $username = mysqli_real_escape_string($_POST['username']); // no tendria mucho efecto pero aun asi lo dejo
            $password = mysqli_real_escape_string($_POST['password']); // no tendria mucho efecto pero aun asi lo dejo
            
            $query    = mysqli_query($conexion,"SELECT * FROM usuarios WHERE nick='".$username."' and pass='".$password."'");
     
            if(mysqli_num_rows($query) > 0)
            {
     
                $datos = mysqli_fetch_assoc($query);
                $_SESSION['nivel'] = $datos['nivel'];
                $_SESSION['usuario'] = $datos['nick'];
                echo '<script language="JavaScript">window.location.href = "index.php";</script>';
            }
            else
            {
                echo 'Usuario y contraseña incorrectos';
                echo '<script language="JavaScript">window.location.href = "index.html";</script>';
            }
        }
        else
        {
        echo 'Ingresa un usuario y contraseña validos';
       
        }
    }
     
    ?>

ahora solo te faltaria hasear las pass y en el registro especificar que sea mayor de 10 caracteres para aumentar la seguridad de la contraseña , y preparar la consulta y yo creo que estaria muy seguro

respecto a .htaccess y directorios , yo no se tu estructura pero a lo que se refiere es a una estructura mas o menos asi

index.php
dir / sistema
dir/ public

restringimos el acceso a sistema y a todos sus directorios que no sean accesible desde la url , en sistema tendriamos todos los scripts controladores ,clases funciones etc....y en public todo el contenido publico , asi separamos el sistema de la aplicacion, y la aplicacion se conecta con el sistema para usar sus funciones

GonzaFY · #8 (**permalink**) 02/02/2013, 12:32

Muy bueno como dejaste el codigo, quitare $password y $username luego ya que por ahora como estoy trabajando mucho sobre login.php me deja mas facil de entender..

Y mas o menos entiendo lo que dices del .htaccess. Pero me quedo algo confundido..
¿Podrias explicarme un poquito mejor de como trabajar con algo asi? Es decir yo en sistema guardo mi config, el login y esas cosas pero luego como utilizo desde las paginas de "public"...
Y como se restringe el acceso a la carpeta sistema? O es solo una forma de decir?

Muchas gracias, encerio :D

#9 (**permalink**) 02/02/2013, 12:41

para denegar el acceso crea un archivo .htaccess con el siguiente contenido Deny from all y ahora prueba aacceder desde la url veras que no tienes acceso , ahora crea un index fuera de ese directorio

index.php / dir protegido /

y en el index haz un include hacia un archivo de ese directorio y veras que si es accesible

ahora en protegido guardamos el login y todo lo que tengas ,.

entramos en miweb.com/public/login.php y este no contendra las funciones tan solo las llamadas a login.php del sistema y tambien contendra el html

es tan solo un ejemplo existen muchas estructuras , yo uso una basada en el index , solo se accede desde el index a todo el sistema y usa request para pasar controladores parametros etc. por la url miweb.com/controlador/modelo/vista algo asi y el index se encargaria de todo , digamos que welcome es un controlador la url quedaria asi miweb.com/welcome y se conectaria con ese controlador que ya es el encatgado de administrar la pagina , te recomiEndo echar un vistazo a MVC

GonzaFY · #10 (**permalink**) 02/02/2013, 12:53

Disculpa mi ignorancia pero como hago el archivo .htaccess...
Es decir hice uno .htaccess.txt (porque sino me dice que ponga nombre) y le puse deny for all y perfecto no puedo entrar a ese archivo pero si puedo ingresar a un documento de texto que esta en la misma carpeta..
Me parece interesante usar esto ya que muchos sistemas lo hacen y ademas deja todo mucho mas ordenado..

// Es porque intento cargarlo en el localhost, lei que en servidores si funciona asi que luego me creo una cuenta en algun host para probar.

Y aparte de todo esto mira, para agregar el md5 modifique el $query y quedo asi:

Código PHP:

Ver original$query = mysqli_query($conexion,"SELECT * FROM usuarios WHERE nick='".$_POST['username']."' and pass='".md5($_POST['password'])."'");

Y elimine los mysqli_real_escape_string, no falta nada mas cierto? Digo, ya que con decir que solo se puede utilizar caracteres alfanumericos estoy bloqueando cualquier tipo de signo raro

Edito:
Agrego una ultima cosa:
Los rangos de cada usuario debo utilizarlos en la mayoria de las paginas, asi como su nombre. Es conveniente guardar la $_SESSION['nick'] en el config y asi, si la declaro por ejemplo $nick = $_SESSION['nick']; poder utilizarla en todos lados, o me conviene realizar esto en cada pagina?

Son todas mis dudas :D!

#11 (**permalink**) 02/02/2013, 13:12

Cita:

Iniciado por GonzaFY

Y elimine los mysqli_real_escape_string, no falta nada mas cierto? Digo, ya que con decir que solo se puede utilizar caracteres alfanumericos estoy bloqueando cualquier tipo de signo raro

puedes verificar el tipo que sea un string ' is_string() ' , si la funcion cumple con su cometido efectivamente solo dejarias pasar numeros y letras , aunque puedes probar ejemplos intenta meter caracteres raros comillas ejemplos de sql injection etc...

Cita:

Iniciado por GonzaFY

Disculpa mi ignorancia pero como hago el archivo .htaccess...
Es decir hice uno .htaccess.txt (porque sino me dice que ponga nombre) y le puse deny for all y perfecto no puedo entrar a ese archivo pero si puedo ingresar a un documento de texto que esta en la misma carpeta..

ese .txt no es valido , yo tengo el problema que tu tienes en mi maquina no me deja crearlos y he probado muchas cosas y nada , me baje uno que viene en codegniter y ya con ese lo copio y listo , no me acuerdo por que era el problema de crear un .htaccess

respecto a la contraseña no uses md5 como ya te dije es bastante vulnerable , ademas usa un salt

ejemplo

esto deberia de ir en el registro

$pass = crypt($_POST['password'],'salt una clave'); y la guardamos en la bd y la misma forma para en el login para comprobar en la query

Código PHP:

Ver original$pass = crypt($_POST['password'],'salt una clave');
 
$query = mysqli_query($conexion,"SELECT * FROM usuarios WHERE nick='".$_POST['username']."' and pass='".$pass."'");

ambos salt el del registro y el del login deben de coincidir

--------------

respecto a las sessiones , de la manera que tu dices estan creando mas variables y por lo tanto consumes mas memoria.

la session la puedes usar en cualquier parte sin necesidad de crear otro variable

echo $_SESSION['NICK'];

GonzaFY · #12 (**permalink**) 02/02/2013, 13:29

Tienes mucha razon, utilizar session no es tan complejo como para que haga falta crear otra variable, yo y mis vueltas xd.

Que es salt una clave?
Fui a la pagina donde explica crypt pero no entiendo eso..

Y por ultimo, crei que md5 era MUY SEGURO..

#13 (**permalink**) 02/02/2013, 13:34

el salt digamos que es una clave que tu proporciones para que se genere el hash

string+salt = hash

un salt puede ser cualquier cosa

salt = 'hola amigo esta es mi clave secreta'
salt = 'KIJHUIHUIH(/&/TAyutuydgsuf8df7s98fdyu89sfud98sfud98f7s9f87f97fs8 '

si generamos 2 hash con diferentes salt y el mismo string no coincidiran ,el salt hizo que el hash fuera diferente , para comparar hash el salt debe de ser el mismo

GonzaFY · #14 (**permalink**) 02/02/2013, 13:41

Ah ahora comprendo, yo crei que habian codigos especificos.
Es algo asi como si fuera que combina el string al salt..

Me quedo todo super clarisimo y creo que ahora todo es mas seguro..

Muchisimas gracias por la gran ayuda =).

#15 (**permalink**) 02/02/2013, 13:43

de nada , me alegro que te quedara claro y entiendas los conceptos , saludos

Sirius381 · #16 (**permalink**) 02/02/2013, 17:30

Me han ayudado mucho los dos, gracias!

#17 (**permalink**) 02/02/2013, 18:41

me alegro