Protección de formulario contra inyección sql (ando perdido)

lnunez · #1 (**permalink**) 17/03/2016, 08:44

Saludos y muy buenos días, les comento que tengo un problema con un sitio web que mi superior decidio que yo me hiciera cargo despues de lo hackearan, realizandole un test de seguridad con acunetix (afortunadamente contamos con la licencia), me detecto un archivo .php vulnerable a todo y que hace una consulta a una base de datos de libros, para mostrar el resultado en una tabla y una pantalla con la ficha bibliografica del libro seleccionado.

Mi problema es que no tengo idea de programación, investigando un poco y leyendo me encuentro con que puedo ingresar la siguiente función al formulario:

function Security($_Cadena) {
$_Cadena = htmlspecialchars(trim(addslashes(stripslashes(stri p_tags($_Cadena)))));
$_Cadena = str_replace(chr(160),'',$_Cadena);
return mysql_real_escape_string($_Cadena);
}

Me dice que la puedo implementar con el siguiente codigo:

$ejemplo = trim(Security($_POST["ejemplo"]));

Aqui lo que pasa es que no tengo ni idea de que me habla, no se si tengo que hacer otra pagina php, o si se debe ingresar en el mismo formulacio.

Si alguien pudiera apoyarme, el sitio esta desarrollado en wordpress, la base de datos es mysql, y por cierto mi especialidad son los sistemas de información geograficos, e ahi el pequeño detalle.

Por cierto, como le hacen para ingresar en los post el codigo php o html dentro de un cuadro desplazable, les digo estoy totalmente perdido.

Gracias

lnunez · #2 (**permalink**) 17/03/2016, 11:11

ACTUALIZANDO

Me encontre con esto mysql_real_escape_string que en teoria limpia la entrada de datos "raros", pero ahora resulta que cuando hago una consulta me indica que esta vacia.

$pSQL = mysql_real_escape_string($pSQL1);

Y todo por no querer contratar un programador.

pateketrueke · #3 (**permalink**) 17/03/2016, 12:46

Cita:

Iniciado por lnunez

ACTUALIZANDO

Me encontre con esto mysql_real_escape_string que en teoria limpia la entrada de datos "raros", pero ahora resulta que cuando hago una consulta me indica que esta vacia.

$pSQL = mysql_real_escape_string($pSQL1);

El asunto es que debes "escapar" dato por dato y no la consulta completa.

Sería interesante conocer el código que usas en lugar de intentar adivinarlo.

Cita:

Y todo por no querer contratar un programador.

Pues sí, no hay mejor que dejar que alguien profesional te ayude.

lnunez · #4 (**permalink**) 17/03/2016, 14:18

Saludos pateketrueke, este es el codigo.

Código PHP:

Ver original<?
//**Variables que proporcionan la capacidad de cambiar el 
//**motor de datos si se requiere.
global $DATOS;
$DATOS["motor"] = "clsMySQL()";
//******************************************************
//**Clase que proporciona el servicio de datos.
class clsServicoDeDatos{
    var $IDatos;
    function ObtenerIDatos(){
        global $DATOS;
        $this->IDatos = new clsIDatos($DATOS["motor"]);
        return $this->IDatos;
    }
}
//*********************************************
//**Clase que proporciona la interfaz con el motor de datos.
class clsIDatos extends clsMySQL{
    function clsIDatos($pMotor="clsMySQL()"){
        //eval("\$this = new $pMotor;");
    }
}
//**********************************************************
class clsMySQL{
    //Esta clase proporciona las instrucciones de manejos de datos para MySQL.
    function _ObtenerParametro($pParam){
    /*
    Recibe una cadena con el parámetro a obtener, estos parámetros están almacenados en la tabla GENERAL
    */
        $R = 0;
        switch ($pParam){
            case "grupo":
                $R = 5;
                break;
            case "modulo":
                $R = 1;
                break;
            case "modulo de solicitudes":
                $R = 28;
                break; 
            case "modulo de revision de documentos":
                $R = 36;
                break; 
            case "estatus encuesta":
                $R = 13;
                break;
            case "encuesta vigente":
                $R = 14;
                break;
            case "encuesta no vigente":
                $R = 15;
                break;
            case "tipos de documento":
                $R = 17;
                break;
            case "tipos de hipervínculo":
                $R = 20;
                break;
            case "solicitud pendiente":
                $R = 30;
                break;
            case "solicitud terminada":
                $R = 31;
                break;
            case "secciones publicas":
                $R = 18;
                break;
            case "secciones privadas":
                $R = 19;
                break;
            case "ámbito de documento":
                $R = 43;
                break;
            case "estatus de documento":
                $R = 47;
                break;
            case "documento en aprobación":
                $R = 48;
                break;
            case "documento aprobado":
                $R = 49;
                break;
        }
        return $R;
    }
 
    function ObtenerFicha($pNF){
        /*
        Obtiene los campos necesarios para la creación de la clase clsFicha.
        Recibe como parámetro el número de la ficha a mostrar.
        */
        $SQL = "SELECT  FIC_ID, 
                        FIC_CLADEWEY, 
                        FIC_CLALOCAL, 
                        FIC_AUTPERSONAL, 
                        FIC_TITULO, 
                        FIC_ISBN, 
                        FIC_EDICION, 
                        FIC_LUGAR, 
                        FIC_PAGINAS, 
                        FIC_SERIE, 
                        FIC_NOTGENERALES, 
                        FIC_NOTBIBLIOGRAFIA, 
                        FIC_NOTCONTENIDO, 
                        FIC_ENCAUTOR, 
                        FIC_ENCAUCORPORATIVO, 
                        FIC_ENCNOMGRAFICOS, 
                        FIC_ENCTEMA,
                        FIC_AUTCORPORATIVO,
                        FIC_TITULOALT,
                        FIC_RESUMEN
                FROM ficha              
                WHERE FIC_ID = $pNF";
                
//              $SQL = "SELECT * FROM ficha WHERE FIC_ID = $pNF";
                
        return $this->_Ejecutar($pSQL1);
    }
    
    function BuscarFichas($T, $V){      
        /*
        Busca las fichas que concuerden con el criterio de búsqueda.
        Recibe como parámetro el tipo de búsqueda y el valor a buscar.      
        */
        $Con = '1';
        
        switch($T){
        
            case "BBuscar":
                $Con = "FIC_CLADEWEY LIKE '%$V%' OR 
                        FIC_CLALOCAL LIKE '%$V%' OR 
                        FIC_AUTPERSONAL LIKE '%$V%' OR 
                        FIC_AUTCORPORATIVO LIKE '%$V%' OR 
                        FIC_AUTASAMBLEA LIKE '%$V%' OR 
                        FIC_ASITITULO LIKE '%$V%' OR 
                        FIC_TITUNIFORME LIKE '%$V%' OR 
                        FIC_TITULO LIKE '%$V%' OR 
                        FIC_EDICION LIKE '%$V%' OR 
                        FIC_LUGAR LIKE '%$V%' OR 
                        FIC_PAGINAS LIKE '%$V%' OR 
                        FIC_SERIE LIKE '%$V%' OR 
                        FIC_NOTGENERALES LIKE '%$V%' OR 
                        FIC_NOTBIBLIOGRAFIA LIKE '%$V%' OR 
                        FIC_NOTCONTENIDO LIKE '%$V%' OR 
                        FIC_NOTIDIOMA LIKE '%$V%' OR 
                        FIC_ENCAUTOR LIKE '%$V%' OR 
                        FIC_ENCAUCORPORATIVO LIKE '%$V%' OR 
                        FIC_ENCTEMA LIKE '%$V%' OR 
                        FIC_ENCNOMGRAFICOS LIKE '%$V%'";
            /*case "Buscar":
                $Con = "MATCH(FIC_ISBN, FIC_CLADEWEY, FIC_CLALOCAL, FIC_AUTPERSONAL, FIC_AUTCORPORATIVO, FIC_AUTASAMBLEA, FIC_ASITITULO, FIC_TITUNIFORME,   FIC_TITULO, FIC_EDICION, FIC_LUGAR, FIC_PAGINAS, FIC_SERIE, FIC_NOTGENERALES, FIC_NOTBIBLIOGRAFIA, FIC_NOTCONTENIDO, FIC_NOTIDIOMA, FIC_ENCAUTOR,FIC_ENCAUCORPORATIVO,FIC_ENCTEMA,FIC_ENCNOMGRAFICOS ) AGAINST ('%$V%')";
                break;  */
                
            case "Buscar":
                $Con = "MATCH( FIC_TITULO, FIC_TITULOALT,FIC_AUTPERSONAL,FIC_NOTCONTENIDO, FIC_RESUMEN, FIC_CLADEWEY, FIC_ISBN ) AGAINST ('%$V%')";
                break;      
            }
        $SQL = "SELECT FIC_ID FROM ficha WHERE $Con";
        return $this->_Ejecutar($pSQL1);
    }
 
function _Ejecutar($pSQL1){
        /*
        Ejecuta las instrucciones en MySQL.
        Recibe como parámetro la instrucción SQL, si es una consulta (SELECT), regresa un arreglo bidimensional, de lo contrario, un valor bolean igual a verdadero. Si falla la conexión al servidor MySQL o no se ejecuta con éxito la consulta, termina la ejecución del script.
        */
        set_time_limit(180);
        /*
        Conexion al server de MySQL
  */
    
        $hostname = "*****";
        $port = "*****";
        $username = "*****";
        $password = "*****";
        $database = "*****";
        $pSQL = mysql_real_escape_string($pSQL1);
        
        $C = mysql_connect("$hostname","$username","$password");
        //$C = @mysql_connect("localhost", "*****", "*****");
        //$C = @mysql_connect("localhost", "*****",""); // ************
                        
        if($C!=false){          
            //mysql_db_query("*****", "SET NAMES 'utf8'", $C);
            //$Res = @mysql_db_query("*****", utf8_encode($pSQL), $C);
            $Res = @mysql_db_query("$database", $pSQL, $C);
            if($Res!=false){
                if(substr($pSQL, 0, 6)=="SELECT"){
                    $Return = array();
                    $r=-1;
                    while($Fila = mysql_fetch_row($Res)) {
                        $r++;
                        for($i=0; $i<count($Fila); $i++){
                            $Return[$r][$i] = $Fila[$i];
                        }
                    }
                    mysql_free_result($Res);
                    mysql_close($C);
                    return $Return;
                }else{
                    mysql_close($C);
                    return true;
                }               
            }else{
                die (mysql_errno($C) . ": " . mysql_error($C) ) ;
                echo "<br />";
                /*die ( "No fue posible ejecutar la siguiente instrucción \"$pSQL\".");*/
            }
        }else{
            die ("No se ha podido establecer la conexión con el servidor de datos.");
        }
    }
}
?>

pateketrueke · #5 (**permalink**) 17/03/2016, 15:07

Para que te des una idea del problema:

Código PHP:

Ver original$foo = 'bar';
 
// MAL
$sql = mysql_real_escape_string("SELECT * FROM tabla WHERE columna = '$foo'");
 
// BIEN
$foo = mysql_real_escape_string($foo);
$sql = "SELECT * FROM tabla WHERE columna = '$foo'";

¿Se entiende?

lnunez · #6 (**permalink**) 17/03/2016, 15:18

Siendote honesto, no entiendo, como dije no soy programador, tengo la facilidad de poder aprender a manejar software como autocad, arcgis, map info, quantum gis, arcview, er mapper, global mapper, surfer etc. capacito a personal en dichos software, pero la programación nomas no se me da.

Te agradezco tu apoyo y saludos desde Guanajuato.

Patriarka · #7 (**permalink**) 17/03/2016, 19:10

bueno haga un curso, hay miles en youtuve

rbczgz · #8 (**permalink**) 18/03/2016, 03:15

Hola lnunez,

Lo que te intenta decir pateketrueke, además de una forma muy explícita y clara, es que la función se la debes pasar a cada variable que recibas antes de enviarlas a los métodos que usan tus clases del código que has pasado.

Por ejemplo:

Código PHP:

Ver original//RRecibes una variable por $_POST
$variable = Security($_POST['variable']); //Le pasas la función "Security"
 
//Ahora es cuando le pasarías la variable "limpia" al método que vayas a utiizar

Espero que te aclare algo más.

xfxstudios · #9 (**permalink**) 18/03/2016, 06:48

podrías utilizar cualquier de estas funciones a ver:

Código PHP:

Ver original//Limpia la variable de caracteres no permitidos
//ESTA NO RECUERDO DONDE LA VI PARA PODER DARLE CRÉDITO AL AUTOR
function limpiaVar($X){
 
    $NP = array("'",'\\','<','>',"\"",";","&","%","#"); 
    $X = str_replace($NP, "", $X); 
    
return $X;
}
 
//escapa caracteres no válidos Ej entra D'jango y sale D\'jango. $X es la conexion a bd ej. $db
//ESA SE ENCUENTRA AQUI EN FOROS DEL WEB 
function MyScape($X, $cadena) {
    if(get_magic_quotes_gpc() != 0) {
        $cadena = stripslashes($cadena);
        return $cadena;
    }else{
    return mysqli_real_escape_string($db, $cadena);
    }
}

Amiancht · #10 (**permalink**) 18/03/2016, 18:43

Cita:

Iniciado por lnunez

ACTUALIZANDO
Y todo por no querer contratar un programador.

YO que tu contrataria un profesional, ya que si tienes poca idea la puedes liar con la seguridad.

Y si quieres aprender contrata un profesor o haz un curso para que te enseñe (pero necesitas tiempo y dedicación). Pero vamos, si tienes un sitio web con base de datos y toda la historia estás arriesgando mucho si haces cosas sin saber por mucho que te guiemos. Es mi más humilde consejo.

Es como querer construir un edificio sin contratar un arquitecto, o sin aprender arquitectura.

lnunez · #11 (**permalink**) 18/03/2016, 19:24

Saludos a todos, precisamente ahi esta el problema, este tema no era mio, pero al renunciar quien lo llevaba se le hizo facil al jefe decir "ahora lo haces tú", ya saben los directores de las dependencias de gobierno, son sabios en sus desiciones, lo que hare es un informe tomando sus recomendaciones, las cuales les agradezco y mucho, pero la verdad me declaro incompetente en el tema y como no tengo tiempo realmente para tomar un curso, prefiero seguir en lo si soy especialista que andar construyendo castillos en el aire.

Nuevamente les agradezco y si alguien necesita apoyo en los sorfwares antes mencionados o algo relacionado con gps, imagenes de satelite, ortofotos y lo que se relaciona con el temas gis, me pongo a sus ordenes.

vb2005 · #12 (**permalink**) 19/03/2016, 03:08

Yo de todas formas te recomendaría que te aprendas algun PDO o mejor algún ORM que venga como alguna librería para poder olvidarte de todos estos detalles.

Lo mejor sería que adpotes algún framework.