Seguridad en los Querys

morfasto · #1 (**permalink**) 07/11/2011, 12:22

Hola, que tal?

Estoy viendo la parte de la seguridad de mi pagina web, especificamente en la parte de los querys. Estuve leyendo sobre el tema y me parecio bastante interesante, pero sigo sin entender la manera de aplicarlo y el orden de aplicarlo.

Se que seria bueno utilizar varias funciones para acomodar los textos a introducir a la base de datos, para que no sean malignos y que no puedan obtener informacion para acceder con todos los privilegios a la base de datos.

Estas son algunas funciones que encontre que podrian servirme:
mysql_real_escape_string();
stripslashes();
get_magic_quotes_gpc();

Pero, en que momento debo de usarlas, cuando hago una consulta a la base de datos?, cuando hago un update a un registro de la base de datos?, cuando ingreso un registro a la base de datos?

Voy a poner un ejemplo de codigo que yo tengo para hacer una consulta, un update y un ingreso de registro nuevo.

Código PHP:

  <?

//INGRESAR UN NUEVO REGISTRO:

$password = md5($_POST['password']);

$foto="IMG/cliente.png";

$registrar="INSERT INTO clientes (cliente_id, nombre, apellido, email, password, foto)

VALUES

('','$_POST[nombre]','$_POST[apellido]','$_POST[email]','$password','$foto')";

if (!mysql_query($registrar))

{

    die('Error: ' . mysql_error());

}

 
//CONSULTA:

(isset ($_GET['id']))? $id = $_GET['id'] : $id = NULL;  

$foto = "SELECT foto FROM clientes WHERE cliente_id = '$id'";

$foto = mysql_query($foto); 

while($rs=mysql_fetch_array($foto)) 

{ 

    echo      "<img src='".$rs['foto']."'>";

} 

 
//UPDATE DE UN REGISTRO:

$update="UPDATE clientes SET nombre = '$_POST[nombre]', apellido = '$_POST[apellido]', email = '$_POST[email]' where cliente_id =  '$_SESSION[cliente]'";

if (!mysql_query($update))

{

    die('Error: ' . mysql_error());

}

?>

De que manera necesito modificar mis querys para que dejen de ser inseguros?

Muchisimas gracias!

GatorV · #2 (**permalink**) 07/11/2011, 12:28

La regla es simple: nunca confies en el contenido que te envia el usuario, nunca. Cada que vayas a enviar una variable a la base de datos debes de escaparla y asegurarte que el tipo de dato que quieras enviar sea ese, si va a ser un número, haz un cast a un integer, si es una cadena de texto, escapala con mysql_real_escape_string, etc.

No es cuestión de cuando hagas un INSERT, si no es siempre que hagas una consulta a tu BDD.

Saludos.

morfasto · #3 (**permalink**) 07/11/2011, 13:25

Entonces si yo cambio mi codigo a esto:

Código PHP:

  <?

//INGRESAR UN NUEVO REGISTRO:

$password=mysql_real_escape_string($_POST['password']);

$password=md5($password);

$foto="IMG/cliente.png";

$nombre=mysql_real_escape_string($_POST['nombre']);

$apellido=mysql_real_escape_string($_POST['apellido']);

$email=mysql_real_escape_string($_POST['email']);

$registrar="INSERT INTO clientes (cliente_id, nombre, apellido, email, password, foto)

VALUES

('','$nombre','$apellido','$email','$password','$foto')";

if (!mysql_query($registrar))

{

    die('Error: ' . mysql_error());

}

 
//CONSULTA:

(isset ($_GET['id']))? $id = $_GET['id'] : $id = NULL;

 
$foto = "SELECT foto FROM clientes WHERE cliente_id = '$id'";

$foto = mysql_query($foto); 

while($rs=mysql_fetch_array($foto)) 

{ 

    echo      "<img src='".$rs['foto']."'>";

} 

 
//UPDATE DE UN REGISTRO:

$nombre=mysql_real_escape_string($_POST['nombre']);

$apellido=mysql_real_escape_string($_POST['apellido']);

$email=mysql_real_escape_string($_POST['email']);

$update="UPDATE clientes SET nombre = '$nombre', apellido = '$apellido', email = '$email' where cliente_id =  '$_SESSION[cliente]'";

if (!mysql_query($update))

{

    die('Error: ' . mysql_error());

}

?>

Estaria mas seguro?

La verdad es que no entiendo bien como es que funciona real_scape_string() a pesar de haber leido el manual, alguien me podria explicar?

GatorV · #4 (**permalink**) 07/11/2011, 13:44

Así es, debes de escapar las variables que vayas a enviar a la base de datos, y para más seguridad se recomienda usar PDO, ya que puedes usar preparedstatements los cuales te dan más seguridad y más velocidad a la hora de interactuar con tu bdd.

Saludos.

morfasto · #5 (**permalink**) 07/11/2011, 14:54

Estuve intentando hacer que funcione con preparedstatements pero no logro hacerlo...

Este es mi codigo:

Código PHP:

  <?

//CONECTAR CON LA BASE DE DATOS

function conectarse($host,$usuario,$password,$BBDD){ 

   $link=mysql_connect($host,$usuario,$password) or die (mysql_error()); 

   mysql_select_db($BBDD,$link) or die (mysql_error()); 

   return $link; 

} 

$link=conectarse("localhost","usuario","password","base_datos");  

 
//INGRESAR UN NUEVO REGISTRO:

$stmt = $dbh->prepare("INSERT INTO clientes (nombre, apellido, email, password, foto) VALUES (?, ?, ? , ? , ?)");

$stmt->bindParam(1, $nombre);

$stmt->bindParam(2, $apellido);

$stmt->bindParam(3, $email);

$stmt->bindParam(4, $password);

$stmt->bindParam(5, $foto);

 
$password=mysql_real_escape_string($_POST['password']);

$password=md5($password);

$foto="IMG/cliente.png";

$nombre=mysql_real_escape_string($_POST['nombre']);

$apellido=mysql_real_escape_string($_POST['apellido']);

$email=mysql_real_escape_string($_POST['email']);

 
$stmt->execute();

?>

Que estoy haciendo mal?

GatorV · #6 (**permalink**) 07/11/2011, 16:04

Pues para empezar, tienes que usar PDO para conectarte a tu base de datos, en el código que expones usas la librería de MySQL.

Primero revisa y aprende la sintaxis de PDO y posteriormente intenta modificar tu código.

Saludos.

Uncontroled_Duck · #7 (**permalink**) 07/11/2011, 23:06

Hola, aquí tienes algunos ejemplos para hacer la conexión con la DB.

http://www.php.net/manual/es/ref.pdo-mysql.php#103501

Saludos,