seguridad contra inyeccion SQL

farra · #1 (**permalink**) 06/03/2008, 05:15

una funcion contra la inyeccion sql:

Código PHP:

   if (!function_exists("GetSQLValueString")) {

function GetSQLValueString($theValue, $theType, $theDefinedValue = "", $theNotDefinedValue = "") 

{

  $theValue = get_magic_quotes_gpc() ? stripslashes($theValue) : $theValue;

 
  $theValue = function_exists("mysql_real_escape_string") ? mysql_real_escape_string($theValue) : mysql_escape_string($theValue);

 
  switch ($theType) {

    case "text":

      $theValue = ($theValue != "") ? "'" . $theValue . "'" : "NULL";

      break;

    case "int":

      $theValue = ($theValue != "") ? intval($theValue) : "NULL";

      break;

    case "double":

      $theValue = ($theValue != "") ? "'" . doubleval($theValue) . "'" : "NULL";

      break;

    case "date":

      $theValue = ($theValue != "") ? "'" . $theValue . "'" : "NULL";

      break;

    case "defined":

      $theValue = ($theValue != "") ? $theDefinedValue : $theNotDefinedValue;

      break;

    case "like1":

      $theValue = ($theValue != "") ? "'%" . $theValue . "%'" : "NULL";

      break;

    case "like2":

      $theValue = ($theValue != "") ? "'" . $theValue . "%'" : "NULL";

      break;

    case "like3":

      $theValue = ($theValue != "") ? "'%" . $theValue . "'" : "NULL";

      break;

  }

  return $theValue;

}

}

quisiera saber si es 100% segura?

GatorV · #2 (**permalink**) 06/03/2008, 09:07

Esa función (autogenerada por DW), es segura, pero no te deberías de fiar, todavía podrían usar ataques XSS para insertar JavaScript o algún otro contenido a tu pagina.

Saludos.

farra · #3 (**permalink**) 06/03/2008, 12:06

Cita:

Iniciado por GatorV

Esa función (autogenerada por DW), es segura, pero no te deberías de fiar, todavía podrían usar ataques XSS para insertar JavaScript o algún otro contenido a tu pagina.

Saludos.

ya entiendo, me pueden poner en el post algo asi:

Código:

<script> document.location.href='http://paginamaliciosa.com/' </script>

y se inserta eso en la BD y cuando listen en la pagina los usuarios van a ser direccionados..

le modifique ahora el codigo y le puse 'htmlentities'

Código PHP:

   
if (!function_exists("GetSQLValueString")) { 

function GetSQLValueString($theValue, $theType, $theDefinedValue = "", $theNotDefinedValue = "")  

{ 

  $theValue = get_magic_quotes_gpc() ? stripslashes($theValue) : $theValue; 

 
  $theValue = function_exists("mysql_real_escape_string") ? mysql_real_escape_string($theValue) : mysql_escape_string($theValue); 

 
  switch ($theType) { 

    case "text": 

      $theValue = ($theValue != "") ? "'" . $theValue . "'" : "NULL"; 

      break; 

    case "int": 

      $theValue = ($theValue != "") ? intval($theValue) : "NULL"; 

      break; 

    case "double": 

      $theValue = ($theValue != "") ? "'" . doubleval($theValue) . "'" : "NULL"; 

      break; 

    case "date": 

      $theValue = ($theValue != "") ? "'" . $theValue . "'" : "NULL"; 

      break; 

    case "defined": 

      $theValue = ($theValue != "") ? $theDefinedValue : $theNotDefinedValue; 

      break; 

    case "like1": 

      $theValue = ($theValue != "") ? "'%" . $theValue . "%'" : "NULL"; 

      break; 

    case "like2": 

      $theValue = ($theValue != "") ? "'" . $theValue . "%'" : "NULL"; 

      break; 

    case "like3": 

      $theValue = ($theValue != "") ? "'%" . $theValue . "'" : "NULL"; 

      break; 

  } 

 
$theValue=htmlentities($theValue);  // agregado

 

 return $theValue;

}

con el htmlentities cuando listen se va a ver asi en el codigo fuente html:
<script> document.location.href='http://paginamaliciosa.com/' </script>
pero el usuario va a ver esto en su navegador:
<script> document.location.href='http://paginamaliciosa.com/' </script>
sin que se ejecute...

y ahora esta 100% segura o que otra vulnerabilidad detectas?