seguridad frente sql injection

harryp · #1 (**permalink**) 03/09/2008, 01:48

Bueno pues estoy mirando el tema de sql injection y despues de leer mucha literatura que hay por internet y ver muchas combinaciones entre diferentes formas, se me ocurre a mi una que me parece bastante eficiente...
a ver ... mi codigo dice mas o menos asi (resumidillo )

formulario.php

Código:

<form actuon="validar.php" method="post"> 
<input type=text name="nombre"> 
<input type=password name="pass"> 
<inpyt type=submit" value="enviar">

validar.php

Código:

Código:

$usu = md5($_POST['nombre']); 
$pas = md5($_POST['pass']); 

//(el codigo que falta para conectar a la bd...) 

$query='SELECT * FROM usuaris where nom=\''.$usu.'\' and contra=\''.$pas.'\''; 

//(el codigo que falta para conectar a la bd...)

hasta que punto es seguro esto frente a Sql injection? por que cuando los datos se agregan a la linea de la pregunta llegan encriptados...

a ver que os parece..
un saludo

Teri · #2 (**permalink**) 03/09/2008, 07:56

Ese es un claro ejemplo, de los que verás cuando busques como evitar sql injection, prueba a poner en nombre de usuario ' AND 1=1'

La mejor forma de evitarlo es hacer procedimientos almacenados, y llamarlos pasando los parámetros, es la más sencilla de hacer, y la que menos cambio provoca en tu código

#3 (**permalink**) 04/09/2008, 06:34

Pues es seguro, pero no parece muy práctico, dado que ya no tenés forma de saber el nombre de usuario (porque lo que guardás es la suma md5 del nombre de usuario).

Almacenar la suma md5 de la contraseña es uno de los métodos más usados, así que está muy bien que lo hagas así. Pero con el nombre de usuario es mejor usar mysql_real_escape_string() (en MySQL, por supuesto. Otros gestores tienen funciones similares)

Saludos.

leeja · #4 (**permalink**) 04/09/2008, 08:02

hay q recordar que las inyecciones sql, se pueden hacer por cualquier formulario que interectue con la BD, entonces tu algoritmo para resolver problemas de inyeccion, no solo debe funcionar para consultas de logeo.

harryp · #5 (**permalink**) 04/09/2008, 09:32

ya .. ese es el gran problema el que esta encriptado jaja... pues voy a provar con sql_real_escape_string() pero es que tengo una duda con el... a ver he mirado en varios sitios el mismo ejemplo e incluso en la pagina oficial de PHP sobre el y siempre veo lo mismo:

$query = sprintf("SELECT * FROM usuarios WHERE usuario='%s' AND
password='%s'",
mysql_real_escape_string($usuario),
mysql_real_escape_string($password));

Por que en la sentencia usuario esta igualado a '%s' ? y por que pasword esta igualado alo mismo mismo? como sabe cual poner en que sitio?

Muchas gracias a todos jeje

un saludo

#6 (**permalink**) 04/09/2008, 09:36

Eso es porque usa sprintf(), que se usa de esa forma.
Esto es equivalente

Código PHP:

  $query = "SELECT * FROM usuarios WHERE usuario='".mysql_real_escape_string($usuario)."' AND password='".mysql_real_escape_string($password))."';

Aunque te recomiendo que la contraseña la guardes con el md5, es más seguro (no para tu aplicación, sino para tus usuarios).

Saludos.

harryp · #7 (**permalink**) 04/09/2008, 10:43

oms... oka muchas gracias

salu2!

farra · #8 (**permalink**) 04/09/2008, 13:01

esta es una funcion muy buena que la genera el dreamweaver, he probado de todo y todavia no encontre ninguna forma de hackearla...

Código PHP:

  <?php if (!function_exists("GetSQLValueString")) {

function GetSQLValueString($theValue, $theType, $theDefinedValue = "", $theNotDefinedValue = "") 

{

  $theValue = get_magic_quotes_gpc() ? stripslashes($theValue) : $theValue;

 
  $theValue = function_exists("mysql_real_escape_string") ? mysql_real_escape_string($theValue) : mysql_escape_string($theValue);

 
  switch ($theType) {

    case "text":

      $theValue = ($theValue != "") ? "'" . $theValue . "'" : "NULL";

      break;    

    case "long":

    case "int":

      $theValue = ($theValue != "") ? intval($theValue) : "NULL";

      break;

    case "double":

      $theValue = ($theValue != "") ? "'" . doubleval($theValue) . "'" : "NULL";

      break;

    case "date":

      $theValue = ($theValue != "") ? "'" . $theValue . "'" : "NULL";

      break;

    case "defined":

      $theValue = ($theValue != "") ? $theDefinedValue : $theNotDefinedValue;

      break;

  }

  return $theValue;

}

}

?>

ejemplo de como usar:

Código PHP:

  <?php

$texto=GetSQLValueString($_POST['var'], "text");

$numerico=GetSQLValueString($_POST['var'], "int");

?>

Roydan · #9 (**permalink**) 15/10/2008, 23:12

Saludos Alguien sabe como hago para que usando esta opcion

Código PHP:

  case "text":
      $theValue = ($theValue != "") ? "'" . $theValue . "'" : "NULL";

Que genera dreamweaver para proteger de SQL Injection, el resultado no me genere algo asi 'variable' y solo variable, ya que esas comillas no se usan en mysql si lo que quiero enviar como variable es el nombre de un campo.
por ejemplo

Código HTML:

..... WHERE $variable1 LIKE $variable2 GROUP ....

donde $variable1 es el nombre del campo que en mysql no puede ir con comillas ''

Espero haberme dejado entender , gracias por las respuestas

#10 (**permalink**) 16/10/2008, 05:36

¿cómo que no puede ir entrecomillado? sí que puede y de hecho los valores tipo cadena DEBEN ir entrecomillados.

Roydan · #11 (**permalink**) 16/10/2008, 09:40

la consulta que se genera es algo asi

Código PHP:

  select sis.*, sistr.cod from sis left join sistr on sis.cod=sistr.cod WHERE 'campo' LIKE '%texto%' GROUP BY cod

conde 'campo' es una variable enviada por POST y corresponde al nombre de un campo. pero no se ejecuta debido a las comillas ''

Se puede protejer de alguna forma ese dato con el procedimiento de Dreamveaver o tengo qu hacerlo de otra forma.

gilbeRt_fox · #12 (**permalink**) 16/10/2008, 10:31

Roydan! de cualquier angulo esta mal tu consulta! si decis que es una variable por POST entonces porq no escribes $_POST['campo'] y si es que habias asignado anteriormente a una variable tu recepcion del POST por que no usas $campo... si escribes 'campo' jamas podria ser ningun tipo de variable!

has lo siguiente.. recepciona tu variable POST ===> $campo = $_POST['campo'];
y luego en tu SQL escribe donde tu WHERE ===> '$campo'

Roydan · #13 (**permalink**) 16/10/2008, 11:01

Asi tengo mis variables

Código PHP:

  $campo = $_POST["campo"]; //// corresponde al nombre del campo

$criterio = $_POST["criterio"]; //// corresponde a un texto

La consulta que me genera Dreamweaver es asi

Código PHP:

  sprintf("select sis.*, sistr.cod from sis left join sistr on sis.cod=sistr.cod WHERE %s LIKE %s GROUP BY cod ORDER BY cod ASC", GetSQLValueString($campo, "text"),GetSQLValueString("%" . $criterio . "%", "text"));

al hacerle un echo a la consulta sql
genera algo asi

Código PHP:

  select sis.*, sistr.cod from sis left join sistr on sis.cod=sistr.cod WHERE 'campo1' LIKE '%textoabuscar%' GROUP BY cod

ese 'campo1' me da error, por que deberia ser solo campo1 . porque dreamweaver lo considera como texto y me lo deja con comillas,

Hay alguna forma de proteger esa variable sin que el resultado me de con comillas

o me estoy equivocando en algo

Saludos

#14 (**permalink**) 16/10/2008, 11:05

Queda claro cuál es el problema.
Una solución rápida si no querés pensar demasiado en el problema ni cambiar la función, es utilizar trim() para eliminar las comillas:

Código PHP:

  trim( GetSQLValueString($campo, "text"), "'" );

Saludos.

GatorV · #15 (**permalink**) 16/10/2008, 11:06

Hola Roydan,

Si tu pasas esa variable por esa función le estas agregando las comillas, la solución es que no pases esa variable por la función sino solamente ponerla entre backticks, algo así:

Código php:

Ver originalsprintf("select sis.*, sistr.cod from sis left join sistr on sis.cod=sistr.cod WHERE %s LIKE %s GROUP BY cod ORDER BY cod ASC", $campo,GetSQLValueString("%" . $criterio . "%", "text"));

Saludos.

Roydan · #16 (**permalink**) 16/10/2008, 11:12

Gracias por la respuesta, y mi variable es segura de esa forma?, le tengo terror al sql injection jeje

Saludos

GatorV · #17 (**permalink**) 16/10/2008, 11:16

Por supuesto que no es segura, pero el problema viene de tu algoritmo, lo que yo haria en ese caso es comprobar el campo y checar que sea igual a una lista de campos para comparar, pero ese es tu trabajo.

Saludos.

Roydan · #18 (**permalink**) 16/10/2008, 11:22

Gracias, investigare al respecto.