seguridad en libro de visitas

kaninox · #1 (**permalink**) 23/06/2009, 21:34

holas me han pedido rehacer un libro de visitas en una web, en el cual han estado metiendo código malicioso según ellos, entonces voy a ver el fuente y tienen

formulario :

Código html:

Ver original<form method="POST" action="pagina1.php">
<input type="text" name="nick"><br>
<textarea name="mensaje"></textarea><br>
<input type="submit" name="enviar" value="Enviar">
</form>

y en el php solo tiene

Código php:

Ver original<?php
if (($_POST[nick] != "") && ($_POST[mensaje] !=""))
{
mysql_query ("INSERT INTO libro"
                ." (nick, comentarios)"
                ." Values"
                ." ('$_POST[nick]', '$_POST[mensaje]')") or die ("Error ".mysql_error());
echo "Se Ingreso tu comentario correctamente";
}
else
{
echo "Debes Ingresar todos los Campos";
}
?>

obiamente le debo aplicar mas restricciones que saltan al a vista, pero mi duda es con addslashes(); por ejemplo ya me evito problemas, y si ademas agrego una funcion tipo

Código php:

Ver originalfunction limpiaCadena ($cadena)
{
if (!get_magic_quotes_gpc())
$cadena=mysql_real_escape_string($cadena);
return $cadena;
}

con mysql_real_escape_string, ya estaría asegurando mas el formulario a posibles ataques, no se si agregarían algo mas, o me pueden orientar mas al respecto....

ej, antes de ingresar a base de datos

Código php:

Ver original$usuario = limpiaCadena(addslashes($_POST[nick]));
$mensaje = limpiaCadena(addslashes($_POST[mensaje]));

que pasaría si ademas agrego un htmlentities(); por ejemplo, es como mucho, es necesario? y todas esas son mis dudas

pd: agrego que ellos quieren por ejemplo que se vea codigo en el libro como se ve aqui en el foro, solo que no afecte al funcionamiento, digo si escribo <script>alert: ..... por ejemplo no me salte un alert pero que si se vea el codigo que se escribio :/

saludos...

Triby · #2 (**permalink**) 24/06/2009, 00:26

Yo verificaria:

1- Que el campo no este vacio trim()
2- La longitud de los textos, que el "nick" tenga entre 3 y 40 caracteres y para el mensaje strlen()
3- Que no permitas html ni javascript htmlentities()

kaninox · #3 (**permalink**) 24/06/2009, 02:44

a eso iba.... lo de trim(); pues lo hacia con un simple

Código php:

Ver originalif ($_POST[campo] == "")
{
echo "debe llenar el campo";
}
else
{
echo "dato correcto";
}

veré que tal con trim(); que lo había leído pero nunca lo he usado....
lo del strlen(); ya lo tenia contemplado para los largos y si mas menos los nicks entre 3 y 30 en mi caso, y también veo que el mensaje sea mayor al menos de 10 caracteres....
tambien reviso que el mensaje no sea puro tabulador al principio y final, con expresiones regulares :
if (preg_match('/^\s|\s$/', $_POST[campo]) ....

ademas manejo una tabla que me almacena la ip, time y expire, la ocupo para que el usuario al menos deba esperar 30 segundos por cada post.....

a lo que iba era a eso lo del htmlentities(); pero me preguntaba si agrego lo del addslashes(); y la funcion : mysql_real_escape_string();
sera mas que suficiente para no permitir inyecciones o alguna que otra intrusión, gracias por tu tiempo triby :D

Triby · #4 (**permalink**) 24/06/2009, 03:27

La funcion trim() te elimina espacios, tabuladores y saltos de linea (no recuerdo si algo mas) al principio y al final del texto.

Para probarlo:

Código php:

Ver original$var1 = "\t Esto es una cadena con saltos al final   \n    \t    ";
echo '<pre>';
echo trim($var1);
echo '</pre>';

Si la cadena contiene solo espacios (tabuladores o saltos de linea) trim te la devolvera como cadena vacia.

adslashes es similar a mysql_real_escape_string y no deberias usarlas en conjunto porque estarias escapando doblemente, en todo caso, tu funcion limpiaCadena() la cambiaria por:

Código php:

Ver originalfunction limpiaCadena ($cadena)
{
    if (get_magic_quotes_gpc())
        $cadena = stripslashes($cadena);
    return=mysql_real_escape_string($cadena);
}

Si las comillas magicas estan habilitadas, todos los datos recibidos en $_GET y $_POST estaran escapados con addslashes, por eso es necesario "deshacer" esa accion con stripslashes y, posteriormente, escapar con la funcion adecuada para base de datos, en este caso: mysql_real_escape_string()

Cita:

Manual de adslashes()

La directiva de PHP magic_quotes_gpc tiene un valor por defecto de on, por lo que de forma automática se llama a la función addslashes() en todos los datos que llegan a través de los métodos GET y POST y a través de las cookies. Por tanto, no es necesario emplear la función addslashes() en las cadenas que ya han sido escapadas mediante la directiva magic_quotes_gpc ya que si no, se haría un doble escape. La función get_magic_quotes_gpc() puede ser útil para comprobar el valor de esta directiva.

kaninox · #5 (**permalink**) 24/06/2009, 04:22

ok muchas gracias ya me queda mas claro respecto a tu funcion esta bien así
if (get_magic_quotes_gpc()) o deberia ir if (!get_magic_quotes_gpc()) con el ! delante

muchas gracias por tu tiempo :)

Triby · #6 (**permalink**) 24/06/2009, 05:06

La funcion limpiaCadena deberia revisar si estan activadas las comillas magicas, de ser asi, deshace lo hecho por addslashes, por eso no lleva el signo de admiracion ! que equivale a NOT.

Para evitar problemas con acentos y tildes podrias usar htmlspecialchars() y verificar que tanto la base de datos, como tu archivo y la meta correspondiente usen la misma codificacion de caracteres (UTF-8 o ISO8859-1).

kaninox · #7 (**permalink**) 24/06/2009, 12:40

me dio error en el return=mysql_real_escape_string($cadena);

newboy_master · #8 (**permalink**) 24/06/2009, 12:49

Prueba así:

return mysql_real_escape_string($cadena);

Triby · #9 (**permalink**) 24/06/2009, 13:28

Eso es lo que pasa cuando uno tiene sueño.

Como ya te dijo newboy_master, en esa linea reemplaza el signo igual por un espacio.

kaninox · #10 (**permalink**) 24/06/2009, 17:33

como se nota que yo igual ando con sueño que tampoco me di cuenta, crei que era otro tipo problema X)

bueno saludos a ambos en especial a triby por su tiempo :)