alguien que me de Sugerencias para evitar mysql injection!?

JoseGMariani · #1 (**permalink**) 22/03/2010, 15:48

Hola buenas! =) tengo una pagina con login de usuario bueno son varios los form que uso con metodo post para meter datos en la base..

quisiera que me pudieran ayudar, decir, que cosas le podria poner al codigo para evitar mysql injection..

porfaa alguien..?

Código PHP:

  <?php 
// Configura los datos de tu cuenta 
session_start();     
include ('../seg/conexion.php');  
 
if ($_POST['nombre']) { 
//Comprobacion del envio del nombre de usuario y password 
$nombre=$_POST['nombre']; 
$password=$_POST['password']; 
 
$checknombre = mysql_query("SELECT nombre FROM usuarios WHERE nombre='$nombre'"); 
$nombre_exist = mysql_num_rows($checknombre); 
if ($nombre_exist>0) { 
$consulta=mysql_query("SELECT estado FROM usuarios WHERE nombre='$nombre'"); 
    $lado=mysql_num_rows ($consulta); 
while($row=mysql_fetch_array($consulta)){ 
$estado=$row["estado"]; 
$consulta2=mysql_query("SELECT comprobado FROM usuarios WHERE nombre='$nombre'"); 
    $lado2=mysql_num_rows ($consulta2); 
while($row=mysql_fetch_array($consulta2)){ 
$comprobado=$row["comprobado"]; 
 
if ($password==NULL) { 
echo "<script type=\"text/javascript\">alert(\"Error: La clave no fue enviada! intentalo de nuevo.'\");window.close();</script>";   
}else{ 
$query = mysql_query("SELECT nombre,pass FROM usuarios WHERE nombre = '$nombre'") or die(mysql_error()); 
$data = mysql_fetch_array($query); 
if($data['pass'] != $password) { 
echo "<script type=\"text/javascript\">alert(\"Login Incorrecto\");  
  window.close();</script>"; 
  }else{ 
    if($estado!=0) { 
    echo "<script type=\"text/javascript\">alert(\"Tu Cuenta ha sido Suspendida'\");window.close();</script>";   
}else{ 
if($comprobado==0) { 
    echo "<script type=\"text/javascript\">alert(\"No Haz Validado Tu Cuenta, Revisa tu Bandeja de correo Electrónico, Recuerda revisar Correo no deseado Si borraste el correo de Validación dirígete a 'Validar mi Cuenta' y se te enviará un correo de nuevo.'\");window.close();</script>";   
    }else{ 
$query = mysql_query("SELECT nombre,pass,id FROM usuarios WHERE nombre = '$nombre'") or die(mysql_error()); 
$row = mysql_fetch_array($query); 
$_SESSION["s_nombre"] = $row['nombre']; 
$_SESSION["s_id"] = $row['id']; 
header("Location: cuenta.html"); 
} 
} 
} 
} 
} 
} 
}else{  
echo "<script type=\"text/javascript\">alert(\"Login Incorrecto.\"); window.close();</script>";} 
} 
?>

Hidek1 · #2 (**permalink**) 22/03/2010, 15:52

bueno tienes varias funciones para proteger tus consultas y todas bastante nombradas

mysql_real_escape_string()
sprintf()
htmlentities()
stripslashes()

saludos!

JoseGMariani · #3 (**permalink**) 22/03/2010, 15:55

buenas una forma de implementarlo como seria .. cual de todas tendria q implementar ... alguna de esas hace la misma cosa? :S

spider_boy · #4 (**permalink**) 22/03/2010, 15:56

http://www.google.cl/#hl=es&source=h...b9a1418f739fed

JoseGMariani · #5 (**permalink**) 22/03/2010, 17:20

e puesto esto asi :

Código PHP:

  $query =sprintf("SELECT pass FROM usuarios WHERE nombre = '%s'", 
mysql_real_escape_string($nombre))or die(mysql_error());

y me dice error en la linea 29 que es la que esta debajo de ella..

Linea 29: $data = mysql_fetch_array($query);
if($data['pass'] != $password) {echo ................................

:S como lo tendria que poner.. ? a la variable password que la agarro por post le coloque esto: $password=stripslashes($_POST['password']);

cheru · #6 (**permalink**) 22/03/2010, 17:37

Esta utilizando mal la funcion. La misma no ejecuta el query, solo escapa los caracteres y las sentencias que podría terminar en un SQL Injection.
Tendrías que hacerlo de esta forma:

Código PHP:

Ver original$query = mysql_real_escape_string("SELECT pass FROM usuarios WHERE nombre = $nombre");
$response = mysql_ query($query, $link); // Donde $link es el resouce de tu conexion a un servidor MySQL
mysql_fetch_array($response);
// ... resto del codigo ...

Espero te haya servido

JoseGMariani · #7 (**permalink**) 22/03/2010, 17:49

mm bueno Gracias! =) y ya solo con eso.. estaria protegido? la parte de link .. no la coloco pro q ya yo establesco al conexion con un include.. =) ! voy a probarlo.. ahora mismo..

ya lo eh probado lo coloque asi:

Código PHP:

  if ($password==NULL) { 
echo "<script type=\"text/javascript\">alert(\"Error: La clave no fue enviada! intentalo de nuevo.'\");window.close();</script>";   
}else{ 
$query = mysql_real_escape_string("SELECT pass FROM usuarios WHERE nombre = $nombre"); 
$response = mysql_query($query); // Donde $link es el resouce de tu conexion a un servidor MySQL 
mysql_fetch_array($response);           
$data = mysql_fetch_array($query); 
if($data['pass'] != $password) { 
echo "<script type=\"text/javascript\">alert(\"Login Incorrecto\");  
  window.close();</script>"; 
  }else{ ............................... 
 
 
 
mas  codigo................

y me sale error en mysql_fetch_array($response); justamente en esa linea.. =(

cheru · #8 (**permalink**) 22/03/2010, 17:55

Código PHP:

Ver originalmysql_fetch_array($response);          
$data = mysql_fetch_array($query);  // Error

Esto es lo que haces mal. Le tenés que pasar como argumento la variable $response, que es el resouce MySQL que devolvió la consulta y no $query que es el string que contiene qué es lo que debe consultar el motor.

Tenés que hacerlo así:

Código PHP:

Ver original$response = mysql_query($query);      
// Le pasamos el resource que nos devuelve mysql_query();
$data = mysql_fetch_array($response); 
if($data['pass'] != $password) {
 
[....]

Para más información consulta el manual de PHP que está en castellano.
Saludos

JoseGMariani · #9 (**permalink**) 22/03/2010, 18:02

eso ya lo habia intentado.. =( por q me imagine q era asi y lo coloque pero me da error en el

$data = mysql_fetch_array($response);

not valid argument resource... :S por que sera .. ? =(

Triby · #10 (**permalink**) 22/03/2010, 18:10

Seguramente la consulta esta arrojando un error:

$response = mysql_query($query) or die('Error en la consulta: ' . mysql_error());

Por otra parte, no es conveniente escapar toda la consulta, sino los datos por separado y encerrando los datos de cadena (char, varchar, text, etc.) entre comillas simples:

Código SQL:

Ver original$nombre = mysql_real_escape_string($nombre);
$query = "SELECT * FROM tabla WHERE nombre = '$nombre'";

Si escapas la consulta, '$nombre' quedaria tal vez como \'Juan Perez\', provocando un error al ejecutarla.

cheru · #11 (**permalink**) 22/03/2010, 18:17

Porque no está ejecutando la consulta. El error está en mysql_query();
Lo que dice es "El argumento no es un recurso válido", por lo que seguramente no estás haciendo adecuadamente la conexion a la base de datos y, por consiguiente, mysql_query() no devuelve un resource adecuado que pueda manejar mysql_fetch_array();

Tené en cuenta los siguiente:

1) Verificá que no estés cerrando la conexión en algún punto del script.
2) Siempre chequeá que la conexión se encuentre establecida luego de realizar la conexión.
Un IF es lo más adecuado si no poseés algun bloque try...catch que pueda manejar el error.

Te recomiendo leer la documentación ya que este error es muy simple de solucionar. No me molesta ayudarte, pero siempre la mejor ayuda es la documentación oficial. Existen muchos ejemplo y hay aportes realmente buenos de los colaboradores.

cheru · #12 (**permalink**) 22/03/2010, 18:23

Porque no está ejecutando la consulta. El error está en mysql_query();
Lo que dice es "El argumento no es un recurso válido", por lo que seguramente no estás haciendo adecuadamente la conexion a la base de datos y, por consiguiente, mysql_query() no devuelve un resource adecuado que pueda manejar mysql_fetch_array();

Tené en cuenta los siguiente:

1) Verificá que no estés cerrando la conexión en algún punto del script.
2) Siempre chequeá que la conexión se encuentre establecida luego de realizar la conexión.
Un IF es lo más adecuado si no poseés algun bloque try...catch que pueda manejar el error.

Te recomiendo leer la documentación ya que este error es muy simple de solucionar. No me molesta ayudarte, pero siempre la mejor ayuda es la documentación oficial. Existen muchos ejemplo y hay aportes realmente buenos de los colaboradores.

JoseGMariani · #13 (**permalink**) 22/03/2010, 18:29

mm no te entendi men... ='( ...y.y

cheru · #14 (**permalink**) 22/03/2010, 18:41

Claro, el tema es el siguiente:
mysql_fetch_array() te está dando error porque mysql_query() no esta devolviendo un resource válido. Esto puede darse por varios motivos:

1) No está establecida la conexion a la base de datos.
2) Existe un error en el query
3) El query no devuelve resultados

Te colocaría un ejemplo completo pero ya me estoy yendo de la oficina. Si alguien puede hacerlo sería genial, sino mañana mismo lo posteo yo.

Saludos !!

JoseGMariani · #15 (**permalink**) 22/03/2010, 19:25

Lo eh acomodado ai y aun nada.. :S hay estan resaltado la conxion y la consulta. :S

Código PHP:

  include ('../seg/conexion.php'); //AKIII ESTA LA CONEXION!! 
//Comprobacion del envio del nombre de usuario y password
$nombre=$_POST['nombre'];
$password=stripslashes($_POST['password']);

$checknombre = mysql_query("SELECT nombre FROM usuarios WHERE nombre='$nombre'");
$nombre_exist = mysql_num_rows($checknombre);
if ($nombre_exist>0) {
$consulta=mysql_query("SELECT estado FROM usuarios WHERE nombre='$nombre'");
    $lado=mysql_num_rows ($consulta);
while($row=mysql_fetch_array($consulta)){
$estado=$row["estado"];
$consulta2=mysql_query("SELECT comprobado FROM usuarios WHERE nombre='$nombre'");
    $lado2=mysql_num_rows ($consulta2);
while($row=mysql_fetch_array($consulta2)){
$comprobado=$row["comprobado"];

if ($password==NULL) {
echo "<script type=\"text/javascript\">alert(\"Error: La clave no fue enviada! intentalo de nuevo.'\");window.close();</script>";  
}else{
[B]$query = mysql_real_escape_string("SELECT pass FROM usuarios WHERE nombre ='$nombre'");
$response = mysql_query($query);   // AKI ESTA LA CONSULTAAA!!        
$data = mysql_fetch_array($response); // Y EL RESPONSE.. =( 
if($data['pass'] != $password) {
echo "<script type=\"text/javascript\">alert(\"Login Incorrecto\"); 
  window.close();</script>";
  }else{

JoseGMariani · #16 (**permalink**) 22/03/2010, 19:29

dALE gracias cheru de aki a mañana vemso si alguien mas me a podido ayudar.. :S si no bueno hay esta lo q eh hechoo no habia leido tu comentario...

alguien mas que pueda ver el error.. =(

JoseGMariani · #17 (**permalink**) 22/03/2010, 19:40

TRIBY!

no ntend lo q me decias... ya eh arreglado lo de las comillas simples pero me sigu sin funcionar! mepodrias ayudar el codigo tal como lo tengo es como aparece en la ultima publicacion del mismo q esta aya arriba.. como tendria q modificarlo? ya eh arreglado lo de las comillas simples... ! =) espero tu grata ayuda Gracias..! :)!

devGreen · #18 (**permalink**) 22/03/2010, 20:16

Buen dia,

La mejor manera de evitar el sql injection es comprobar los datos que recibe el script y asi mismo, escaparlos.

Tienes a tu dispocision las funciones:
preg_replace
mysql_real_escape_string

La forma de usar la funcion mysql_real_escape_string es unicamente pasar el dato a escapar, mas no toda la consulta.

Triby · #19 (**permalink**) 23/03/2010, 01:27

Cita:

Iniciado por JoseGMariani

$query = mysql_real_escape_string("SELECT pass FROM usuarios WHERE nombre ='$nombre'");
$response = mysql_query($query) or die('Error en la consulta: ' . mysql_error());
$data = mysql_fetch_array($response);

Despues de que veas que el error es porque en vez de comillas simples aparece tambien una diagonal invertida \' intenta escapar solamente el nombre y despues armar la consulta.

Código PHP:

Ver original$nombre = mysql_real_escape_string($nombre);
// Aqui armas tu $query, sin usar mysql_real_escape_string
// Y despues continuas normal

JoseGMariani · #20 (**permalink**) 23/03/2010, 06:53

l variable nombre la agarro por post entonces quedaria asi?

Código PHP:

  $nombre=mysql_real_escape_string($_POST['nombre']);

y la consulta la e dejado asi :

Código PHP:

  $query = mysql_query("SELECT pass FROM usuarios WHERE nombre='$nombre'")or die(mysql_error());       
$data = mysql_fetch_array($query); 
if($data['pass'] != $password) {.......................

Ahora si me funciona es decir si melogea correctamente.. =) !

pero eso es todo? o.O asi estaria protegido mas o menos con mysql injection?
la opcion que antes habia puesto en la variable password

Código PHP:

  $password=stripslashes($_POST['password']);

tambien se la podria colocar para mayor seguridad? que me dices..?=) !