¿Como evitar caracteres especiales en una url para evitar inyección sql?

cristian_cena · #1 (**permalink**) 21/04/2011, 23:39

Hola compañeros.
He estado probando un sitio autoadministrable por panel que he desarrollado usando mysql y php. Y he notado que es vulnerable.
Pude autohacerme una inyección sql siguiendo este tutorial.
Necesitaría saber como puedo defenderme de este ataque de consultas vía url.

En la tabla de los administradores del panel tomo el campo del password del usuario administrador y lo pongo como md5.
¿es seguro el md5, representa una muralla para este tipo de ataques o se puede desencriptarlo?
La contraseña la escribo con minúsculas mayúsculas y números.

Al respecto:
Navegue tratando de encontrar paginas que desencripten md5 y encontré esta http://md5decryption.com/ pero me suena raro porque hice una primera prueba introduciendo el código md5 correspondiente a la cadena "admin" y lo desencriptó.
Pero luego introduje el código md5 correspondiente a una cadena ya usando mayúsculas, minúsculas y números y no lo desencriptó. No se si es una truchada o si desencripta md5 realmente.

Resumiendo. Tengo dos dudas.
1 - ¿como evitar que trabajen con caracteres especiales en la url (y tambien evitarlo vía post) y que con ello puedan consultar mi base de datos?
2 - ¿Es seguro md5? ¿o debo usar SHA1? ¿o ningúna encriptación sirve y de cualquier modo me la van a poder dar vuelta y entrar al panel?

Cualquier link, consejo o sugerencia es bienvenida.

Desde ya muchas gracias por su tiempo.

huesos52 · #2 (**permalink**) 23/04/2011, 06:20

md5 es un algoritmo que encripta contraseñas en un solo sentido y no hay una forma de conocer el password real.

esta pagina lo que tiene es una gran base de datos de palabras comunes como admin, hola, y palabras comunes que comparan los resultados del md5 contra su reslutado en md5. Por esta razón cuando pones una combinación con numeros y mayusculas esta pagina es un verdadero fraude.

VbOkonly · #3 (**permalink**) 23/04/2011, 06:25

Mira un amigo me dijo que para evitar ciertos tipos de injecciones hay que hacer uniones entre las tablas para asi despues, el lammer no intenta hacer otras uniones ya que estan echas o algo asi, no entiendo mucho de esto de injecciones pero voy a empesar a leer.
PD: mi amigo administra una db mysql xD

gnzsoloyo · #4 (**permalink**) 23/04/2011, 06:49

Hay muchas formas de gestionar el problema, pero dos son las más simples, y que debes manejar desdeel principio: Programáticamente (en la aplicación) y en la base por stored procedures.
1) Programáticamente, todos los lenguajes que operan en web, como el PHP, tienen funciones y recursos para gestionar precisamente eso: el sql-injection. Aprovéchalos.
2) A nivel de base de datos, uno de los medios más seguros es usar stored procedures, ya que como lo único que peuden recibir son parámetros, es decir valores reales, cualquier otra cosa que se quiera meter en ellos genera un error de ejecución.

cristian_cena · #5 (**permalink**) 26/04/2011, 13:03

Hola huesos: gracias por la info, me deja más tranquilo.

Hola VbOkonly: no entendí como hacer lo que indicas

Hola gnzsoloyo:

1 "programáticamente: Tal vez hables de mysql_real_escape_string()? que otras? alguna buena práctica o link que puedas sugerirme?

2 "procedimientos almacenados": quedó claro.

--------------------------------------------------
Gracias a todos por su tiempo, saludos.

gnzsoloyo · #6 (**permalink**) 26/04/2011, 13:10

La expresión "programáticamente" significa que se resuelve en la codificación de la aplicación, según el lenguaje que se use para programar.
En mi caso, lo que más uso son los manuales de los lenguajes, no tutoriales, ya que no sólo tienes la documentación precisa sino que siempre hay ejemplos básicos. El resto es práctica.

En el extremo del caso, uso www.codeproject.com.

cristian_cena · #7 (**permalink**) 26/04/2011, 13:17

Entendi el significado que dabas a dicha expresión, en mi caso uso php, ya veré que funciones puedo usar. gracias de todos modos. un abrazo.

cristian_cena · #8 (**permalink**) 15/06/2011, 04:06

vuelvo, para compartir el modo en que efrenté el problema, ojalá me den su opinión al respecto:

Con este código evito que escriban un string en una variable que deseamos sea de tipo integer y esten relacionadas a un campo de una tabla, por ejemplo para las páginas del frontend cuya url sea del tipo: midominio.com?id=5 que suelen pasar consultas sobre esa id para llegar hasta la tabla de los administradores y hacerse con el nombre de usuario y contraseña

Código PHP:

Ver originalif(isset($_GET['id']))
{
    if( !is_numeric($_GET['id']) )
    {
        echo "  <script type=\"text/javascript\">
                alert('Usted intenta violar la seguridad de este sitio.');
                </script>";
        // por si desactivan javascript redireccionamos con un meta...
        echo "<meta http-equiv='refresh' content='0;url=http://www.google.com'>";
        return false;
    }
}

Luego para evitar que ingresen caracteres extraños en los formularios, por ejemplo en el formulario de logueo:

Código PHP:

Ver original// Modificamos las variables pasadas por URL 
foreach( $_GET as $variable => $valor ){ 
$_GET [ $variable ] = str_replace ( "'" , "" , $_GET [ $variable ]); 
$_GET [ $variable ] = str_replace ( "\"" , "" , $_GET [ $variable ]); 
$_GET [ $variable ] = str_replace ( "=" , "" , $_GET [ $variable ]); 
$_GET [ $variable ] = str_replace ( "(" , "" , $_GET [ $variable ]); 
$_GET [ $variable ] = str_replace ( ")" , "" , $_GET [ $variable ]); 
$_GET [ $variable ] = str_replace ( ";" , "" , $_GET [ $variable ]); 
$_GET [ $variable ] = str_replace ( "." , "" , $_GET [ $variable ]); 
$_GET [ $variable ] = str_replace ( ":" , "" , $_GET [ $variable ]); 
$_GET [ $variable ] = str_replace ( "&", "" , $_GET [ $variable ]); 
$_GET [ $variable ] = str_replace ( "#", "" , $_GET [ $variable ]); 
$_GET [ $variable ] = str_replace ( "/", "" , $_GET [ $variable ]); 
$_GET [ $variable ] = str_replace ( "?", "" , $_GET [ $variable ]); 
} 
// Modificamos las variables de formularios 
foreach( $_POST as $variable => $valor ){ 
$_POST [ $variable ] = str_replace ( "'", "" , $_POST [ $variable ]); 
$_POST [ $variable ] = str_replace ( "\"", "" , $_POST [ $variable ]); 
$_POST [ $variable ] = str_replace ( "=", "" , $_POST [ $variable ]); 
$_POST [ $variable ] = str_replace ( "(", "" , $_POST [ $variable ]); 
$_POST [ $variable ] = str_replace ( ")", "" , $_POST [ $variable ]); 
$_POST [ $variable ] = str_replace ( ";", "" , $_POST [ $variable ]); 
$_POST [ $variable ] = str_replace ( ".", "" , $_POST [ $variable ]); 
$_POST [ $variable ] = str_replace ( ":", "" , $_POST [ $variable ]); 
$_POST [ $variable ] = str_replace ( "&", "" , $_POST [ $variable ]); 
$_POST [ $variable ] = str_replace ( "#", "" , $_POST [ $variable ]); 
$_POST [ $variable ] = str_replace ( "/", "" , $_POST [ $variable ]); 
$_POST [ $variable ] = str_replace ( "?", "" , $_POST [ $variable ]); 
}

Finalmente, encripto en md5 el campo destinado al password de la tabla de administradores. y uso una cadena de más de 10 dígitos que incluye minúsculas, mayúsculas y números.

En las páginas internas del backend, en absolutamente todas valido la sesión del usuario logueado y en caso de retornar falso redirecciono.

¿que les parece? ¿encuentran algún hueco para mejorar?

Saludos.

miwelillo · #9 (**permalink**) 09/07/2011, 00:47

grandioso aporte christian_cena, me viene genial para incluirlo en una funcion y sanear mis variables cada vez que tenga que pasarlas a otra pagina :D

Uncontroled_Duck · #10 (**permalink**) 09/07/2011, 03:48

Utiliza PDO para las consultas. Tengo entendido que evita en gran medida el problema de las inyecciones.

Saludos,

iviamontes · #11 (**permalink**) 09/07/2011, 18:18

para sanear las consultas lo que uso es mysql_real_escape_string, si hago esto es necesario tmb poner todas las sustituciones de caracteres ????