Es seguro mi codigo?

knophix123 · #1 (**permalink**) 24/07/2010, 22:46

Hola muy buenas noches mi consulta es la siguiente hermanos estoy haciendo un script en php que recoje los datos de un formulario pero el problema es que no se si es seguro, estube divagando por la web y san-google para buscar informacion hacerca de como prevenir inyecciones sql la que mas abundaba era la de limpiar los datos del formulario con mysql_real_scape_string el problema es que en mssql no se como seria la consulta
por favor si pueden hacerle una correccion a mi codigo les estaria muy agradecido el codigo funciona a la perfeccion muchas gracias y espero sus respuestas

Código:

<body>
<div id="felicidades" align="center"><?
$conexion = mssql_connect("127.0.0.1", "sa", "--------fran1737");
mssql_select_db("MuOnline", $conexion);
$usuario=$_POST['user'];
$contra=$_POST['pass'];

$consulta = "SELECT * FROM MEMB_INFO WHERE memb___id = '$usuario' AND memb__pwd ='$contra'";
$resultado = mssql_query( $consulta ) or die( mysql_error() );

if(mssql_num_rows($resultado)==1)
{(		mssql_query("INSERT INTO nochevip (cuentaid,email,pass,pass1,numerodeposito,numerotarjeta) VALUES            			('{$_POST['user']}','{$_POST['email']}','{$_POST['pass']}','{$_POST['pass1']}','{$_POST['numerodeposito']}','{$_POST['numerotarjeta']}')"));		
print "<script>alert('Felisidades te has inscrito en la NOCHEVIP')</script>";
print("<script>window.location.replace('pagina donde redireccionar');</script>"); 

     }else{
       
		
print "<script>alert('Usuario o contraseña incorrecta')</script>";
print("<script>window.location.replace('index.php');</script>"); 

		
    } 

?>
</div>
</body>

MaTyS · #2 (**permalink**) 24/07/2010, 23:24

Tu código esta bien pero le puedes dar más seguridad.
Aquí un código con mayor seguridad para evitar inyecciones tipo SQL.

Código PHP:

Ver original<body>
<div id="felicidades" align="center">
<?php
// Evitamos la inyeccion SQL
// Modificamos las variables pasadas por URL
foreach( $_GET as $variable => $valor ){
$_GET [ $variable ] = str_replace ( "'" , "'" , $_GET [ $variable ]);
}
// Modificamos las variables de formularios
foreach( $_POST as $variable => $valor ){
$_POST [ $variable ] = str_replace ( "'" , "'" , $_POST [ $variable ]);
}
 
$conexion = mssql_connect("127.0.0.1", "sa", "--------fran1737");
mssql_select_db("MuOnline", $conexion);
$usuario=$_POST['user'];
$contra=$_POST['pass'];
 
$consulta = "SELECT * FROM MEMB_INFO WHERE memb___id = '$usuario' AND memb__pwd ='$contra'";
$resultado = mssql_query( $consulta ) or die( mysql_error() );
 
if(mssql_num_rows($resultado)==1)
{(      mssql_query("INSERT INTO nochevip (cuentaid,email,pass,pass1,numerodeposito,numerotarjeta) VALUES                       ('{$_POST['user']}','{$_POST['email']}','{$_POST['pass']}','{$_POST['pass1']}','{$_POST['numerodeposito']}','{$_POST['numerotarjeta']}')"));        
print "<script>alert('Felisidades te has inscrito en la NOCHEVIP')</script>";
print("<script>window.location.replace('pagina donde redireccionar');</script>"); 
 
     }else{
       
        
print "<script>alert('Usuario o contraseña incorrecta')</script>";
print("<script>window.location.replace('index.php');</script>"); 
 
        
    } 
 
?>
</div>
</body>

Saludos.

knophix123 · #3 (**permalink**) 25/07/2010, 00:38

Muchas gracias hermano, una pregunta devo modificar donde dice variable o lo dejo asi como esta saludos lo prove con un codigo de injection ' OR ''=' cuando lo meto en el input password me arroja el siguiente error

Warning: mssql_query() [function.mssql-query]: message: Línea 1: sintaxis incorrecta cerca de '\'. (severity 15) in C:\xampp-win32-1.6.8\xampp\htdocs\sql\insertar.php on line 44

Warning: mssql_query() [function.mssql-query]: Query failed in C:\xampp-win32-1.6.8\xampp\htdocs\sql\insertar.php on line 44

segun mi logica es que el codigo se esta ejecutando junto con mi codigo php osea como filtrandose en la consulta pero le da un error de sintaxis
crees que este pasando la injection o no devo preocuparme?

pateketrueke · #4 (**permalink**) 25/07/2010, 11:23

Cita:

Iniciado por knophix123

Muchas gracias hermano, una pregunta devo modificar donde dice variable o lo dejo asi como esta saludos lo prove con un codigo de injection ' OR ''=' cuando lo meto en el input password me arroja el siguiente error

Warning: mssql_query() [function.mssql-query]: message: Línea 1: sintaxis incorrecta cerca de '\'. (severity 15) in C:\xampp-win32-1.6.8\xampp\htdocs\sql\insertar.php on line 44

Warning: mssql_query() [function.mssql-query]: Query failed in C:\xampp-win32-1.6.8\xampp\htdocs\sql\insertar.php on line 44

segun mi logica es que el codigo se esta ejecutando junto con mi codigo php osea como filtrandose en la consulta pero le da un error de sintaxis
crees que este pasando la injection o no devo preocuparme?

se supone que si uno limpia las variables, los errores de sintaxis no debería ocurrir... osea, porque lo único que se consigue es escapar los caracteres peligrosos... una ves hecho eso, se vuelven como cualquier otro string...

así que si tienes errores de sintaxis, no estas haciendo bien el trabajo de limpieza o bien, estas haciendo mal las consultas... (:

_ssx · #5 (**permalink**) 26/07/2010, 12:50

Creo que a parte de limpiar los datos debes de evitar este problema de una manera más segura.

¿como?

Revisa primero si existe el usuario y después de esto verificas la contraseña, ESTO PARA EVITAR el AND y su posible infiltración de código.

Algo como..

Código PHP:

  //Buscar usuario
$consulta = "SELECT usuario.usuarios FROM tabla WHERE user= '$usuario'";
$resultado = mssql_query($consulta);
$row = mssql_fetch_assoc($resultado);
//Ahora comparar contraseña con el usuario
if($pass==$row['pass'])
//
else
//

knophix123 · #6 (**permalink**) 26/07/2010, 17:04

Muchas gracias hermano se lo agradesco en el alma me parese mas seguro de la forma que me recomiendas enseguida pruebo y gracias a todos por sus respuestas