Foros del Web » Programando para Internet » PHP »

Seguridad WebApp

Estas en el tema de Seguridad WebApp en el foro de PHP en Foros del Web. Hola que tal. Tengo una consulta para quién sepa acerca del tema: He desarrollado una aplicación web con PHP y MySQL. Para la validación de ...
  #1 (permalink)  
Antiguo 08/09/2012, 13:35
 
Fecha de Ingreso: agosto-2012
Ubicación: Veracruz
Mensajes: 4
Antigüedad: 12 años, 3 meses
Puntos: 0
De acuerdo Seguridad WebApp

Hola que tal.

Tengo una consulta para quién sepa acerca del tema:

He desarrollado una aplicación web con PHP y MySQL. Para la validación de los campos he utilizado las expresiones regulares de PCRE. Lo que quisiera saber es si el sistema puede ser presa de los ataques con SQL Injection con este tipo de validación y que me recomiendan cambiarle. Ejemplo de la validación:

if(!preg_match("/^[\p{Lu}\s]{3,20}$/", $nom_alum)) {
$errors[1]= " EL NOMBRE NO ES VÁLIDO (MIN 3 CARACT A-Z)";
  #2 (permalink)  
Antiguo 08/09/2012, 17:37
Avatar de maycolalvarez
Colaborador
 
Fecha de Ingreso: julio-2008
Ubicación: Caracas
Mensajes: 12.120
Antigüedad: 16 años, 3 meses
Puntos: 1532
Respuesta: Seguridad WebApp

Los ataques de SQL inyección se evaden escapando todos aquellos caracteres especiales que usa el parser SQL del motor de la BDMS, cómo las comillas.

Sin duda usar una expresión regular para limitar la entrada de caracteres es muy buena idea, pero no es la única forma, además el solo hecho de usar PDO correctamente con consultas preparada ayuda mucho.

Puede segur usando su método, aunque no esta de más sí implementa PDO, saludos
__________________
¡Por favor!: usa el highlight para mostrar código
El que busca, encuentra...
  #3 (permalink)  
Antiguo 08/09/2012, 22:39
Avatar de Triby
Mod on free time
 
Fecha de Ingreso: agosto-2008
Ubicación: $MX->Gto['León'];
Mensajes: 10.106
Antigüedad: 16 años, 3 meses
Puntos: 2237
Respuesta: Seguridad WebApp

1- Qué librería usas mysql o mysqli?, porque la primera desaparecerá "pronto", es preferible usar mysqli o PDO, como sugiere maycolalvarez

2- Me parece una idea excelente esto de validar en base a expresiones regulares, pero, en algún momento te encontrarás con que hay campos que requieren caracteres como comillas dobles, sencillas o algún otro y comenzarás con problemas si no escapas correctamente para armar tus consultas.

3- Recomendación para mejorar tu método... sólo una, la misma que dijo maycolalvarez: escapa las variables antes de incluirlas en una consulta o usa consultas preparadas.

Puedes leer un poco sobre inyección SQL y algunas opciones para evitarlas (con base de datos MySQL y/o PDO): http://www.forosdelweb.com/f18/aport...8/#post4265377
__________________
- León, Guanajuato
- GV-Foto

Etiquetas: expresiones, mysql, pcre, regulares, sqlinjection
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 22:31.