Consultas seguros MySQL en PHP

daffyduck · #1 (**permalink**) 26/05/2012, 13:10

Hola a todos, tengo un problema con las consultas a MySQL y es que no son del todo seguras, yo he hecho una funcion como esta:

Código PHP:

  function clean($clean)  
{  
    $clean = preg_replace("/[^a-zA-Z0-9\s]/", "", $clean); 
    return $clean;  
}

Que solo permite numeros y letras, pero no creo que esto sea del todo seguro, deberia de usar mysql_real_escape_string() y sprintf() pero no se muy bien como usarlas.

¿Alguien puede ayudarme a como hacer una query segura para evitar MySQL injection?

Normalmente mis Querys son asi...

Código PHP:

  $consulta = 'SELECT * FROM tabla WHERE id='.$id.;

Desde ya muchas gracias a todos, un saludo

matt_1985 · #2 (**permalink**) 26/05/2012, 13:26

Puedes usar PDO http://php.net/manual/es/intro.pdo.php

Saludos

oscartt67 · #3 (**permalink**) 26/05/2012, 14:11

matt_1985. Corrígeme si me equivoco, pero usar PDO, no va a filtrar ninguna inyección tipo where id=12 or 1=1.

A parte de eso, PDO es una buena recomendación.

Saludos.

daffyduck · #4 (**permalink**) 26/05/2012, 15:12

Gracias por responder

Pero no entiendo muy bien como utilizar PDO de todas formas, tengo todo armado como he mencionado el ejemplo de MySQL arriba, me gustaria saber como hacer la consulta mas segura, muchas gracias :)

oscartt67 · #5 (**permalink**) 26/05/2012, 15:20

PDO crea una capa entre tu código y la base de datos, pero esa es otra guerra.

Respecto a la inyección, es un tema que no domino lo suficiente para contestarte correctamente. espero que alguien con más conocimiento lo haga.

Salud!

daffyduck · #6 (**permalink**) 26/05/2012, 20:11

Bueno, gracias por el consejo de usar PDO, lo estoy tratando, pero como aun no lo domino lo suficiente voy primero a hacer seguras las consultas actuales y cuando ya acomode esto, pasare a PDO.

He encontrado esta forma de hacer mas segura la consulta mysql, ¿podria alguien decirme si es medianamente segura, o deberia de añadir algo mas?

Código PHP:

  $consulta= sprintf("SELECT * FROM tabla WHERE id='%s'", mysql_real_escape_string($id));

Muchas gracias!:)

Nemutagk · #7 (**permalink**) 27/05/2012, 01:28

mysql_real_escape_string funciona muy bien contra inyección SQL, pero tiene un defecto, si las magic_quotes están habilitadas estarias "escapando" 2 veces las comillas (sencillas y dobles) lo preferente es primero verificar si magic_quotes están habilitadas o no...

Código PHP:

Ver originalfunction sanitize($string) {
     if (function_exists('get_magic_quotes_gpc') && get_magic_quotes_gpc()) {
          if (!empty(ini_get('magic_quotes_sybase'))) {
               $string = str_replace("''", "'",$string);
          }else {
               $string = filter_var(stripslashes($string),FILTER_SANITIZE_STRING);
          }
     }
 
     return $string;
}

PD: para usar la función filter_var es necesario PHP 5.2.0 en adelante!

Polkiko · #8 (**permalink**) 27/05/2012, 03:42

Cita:

Iniciado por daffyduck

Bueno, gracias por el consejo de usar PDO, lo estoy tratando, pero como aun no lo domino lo suficiente voy primero a hacer seguras las consultas actuales y cuando ya acomode esto, pasare a PDO.

He encontrado esta forma de hacer mas segura la consulta mysql, ¿podria alguien decirme si es medianamente segura, o deberia de añadir algo mas?

Código PHP:

  $consulta= sprintf("SELECT * FROM tabla WHERE id='%s'", mysql_real_escape_string($id));

Muchas gracias!:)

Tengo la misma duda que tu, yo realizo las consultas sin ningún tipo de seguridad, y vamos sé que en mi "miniweb" nadie se va a molestar en hacer una inyección jejejeje
Pero en futuros proyectos sé que debo de enviar las consultas lo mas seguras posibles ;)

Código PHP:

  $consulta= sprintf("SELECT * FROM tabla WHERE id='%s'", mysql_real_escape_string($id));

¿Como se queda definido eso de '%s'?
¿Que pasa si en la consulta hay mas condiciones o mas selects?
Ej:

Código PHP:

  $consulta= ("SELECT * FROM tabla WHERE id=$id AND email='$email'")

No se como va eso de quedar definido el '%s'
¡Que perdido estoy!

Polkiko · #9 (**permalink**) 27/05/2012, 04:10

Hola,

He ido probando y probando y parece ser que lo unico que define '%s' es que estén en orden, no?

Mi consulta queda así:

Código PHP:

  $usuarios = mysql_query(sprintf("SELECT * FROM usuarios WHERE nick='%s' and pass='%s'", 
mysql_real_escape_string($nick), 
mysql_real_escape_string($pass)));

Y bueno, ahora sigo con la pregunta de daffyduck, ¿esto es lo suficientemente seguro para protegerme frente a los ataques en SQL?
Si con esto evito que me "borren la tabla usuarios", es mas que suficiente

Saludos!