Ayuda con consultas GET e inyección a mysql

pepejaguar · #1 (**permalink**) 20/01/2008, 12:24

Saludos amigos.

Estoy buscando ayuda con este problema que tengo, no estoy seguro totalmente si se trata de inyección a mysql, ya que no se ha logrado entrar a la base de datos ni modificarla, pero seguro están tratando de atacarla.

El asunto es:

Desde una de las páginas que he creado, una de las consultas típicas que se realizan es:

Código PHP:

  index.php?uno=ABC&dos=CDE

Donde uno y dos son las variables y ABC y CDE los datos a consultar, esta consulta devuelve los valores correspondientes.

Sin embargo he notado que se hacen las consultas siguientes:

Código PHP:

  index.php?uno=ABC&dos=http://dominio.malicioso/inyeccion

Lo que deseo básicamente es evitar que se pueda hacer algún tipo de modificación a través del dominio malicioso en esa consulta y lo segundo es que se ejecute alguna página de error 404 ó 403

Las consultas se realizan con este cógigo típico:

Código PHP:

  $datos = mysql_query("SELECT campo1,campo2 FROM tabla
WHERE uno = '$uno' AND dos = '$dos' ORDER BY campo3 DESC");
while ($row = mysql_fetch_array($datos)) {
// operaciones varias
}

Cualquier ayuda que me puedan proporcionar voy a estar muy agradecido.

Saludos.

#2 (**permalink**) 20/01/2008, 12:33

Para evitar el sql injection tienes varios métodos en PHP. Uno de ellos, y creo el más seguro es usar la función mysql_real_escape_string():

Código PHP:

  $uno = mysql_real_escape_string($uno);
$dos = mysql_real_escape_string($dos);
 
$datos = mysql_query("SELECT campo1,campo2 FROM tabla 
WHERE uno = '$uno' AND dos = '$dos' ORDER BY campo3 DESC");

Date una vulta por este tema:

http://www.forosdelweb.com/f18/sufic...on-sql-545675/

Un saludo,

Keysher · #3 (**permalink**) 20/01/2008, 12:54

Además del mysql_real_escape_string siempre es recomendable validar todas las variables, si tiene que ser un valor numerico, que sólo sean números; si tiene que tener una longitud en concreto, que la tenga; si tienen que ser sólo letras y números, que lo sean; etc...

Y si quieres evitar que borren o modifiquen datos en la BDD, puedes usar un usuario que sólo tenga permisos para realizar consultas.

pepejaguar · #4 (**permalink**) 20/01/2008, 15:33

Okram muchas gracias por el consejo, con respecto a la función que publicaste en: http://www.forosdelweb.com/f18/sufic...5/#post2238132

¿Es complementaria a lo que publicaste mas arriba o viene a ser lo mismo pero escrito de otra forma?

Keysher gracias por la ayuda, serías tan amable de proporcionarme algunos ejemplos o referencias para validar las variables así como lo mencionas, números, textos y texto-número.

Muy agradecido con ambos.

Saludos.

Keysher · #5 (**permalink**) 20/01/2008, 15:50

Eso depende de las condiciones que tengan que tener los valores. Primero tienes que definir bien qué tipo de valores pueden tener y luego ya buscar el mejor método para hacerlo. Ya sea con funciones propias de PHP (is_numeric, por ejemplo) como con expresiones regulares.

pepejaguar · #6 (**permalink**) 20/01/2008, 17:35

Cita:

Iniciado por Keysher

Eso depende de las condiciones que tengan que tener los valores. Primero tienes que definir bien qué tipo de valores pueden tener y luego ya buscar el mejor método para hacerlo. Ya sea con funciones propias de PHP (is_numeric, por ejemplo) como con expresiones regulares.

Gracias Keysher, podrías especificarme un poco mas, los valores pueden ser de los tres tipos, solo números, solo texto y números y texto.

Saludos.

#7 (**permalink**) 20/01/2008, 19:11

La función que publiqué en ese post es alternativa. Verás, mysql_real_escape_string() existe sólo a partir de PHP >= 4.3.0, y aunque es muy muy muy poco probable que tengas instalada una versión más antigua que esa, podría darse el caso. En todo caso, la finalidad de esta función es adaptar la consulta l tipo de contenido, escapando los caracteres potencialmente peligroso y colocando entre comillas simples (') los valores no numéricos. Su uso es:

Código PHP:

   
$id = 2432;
$password = "abcd'ef";
$estado = null;
 
$sql = sprintf("SELECT * FROM tabla WHERE id=%s AND password=%s AND estado=%s",
                mysql_escape($id),
                mysql_escape($password),
                mysql_escape($estado));
 
echo $sql; //SELECT * FROM tabla WHERE id=2342 AND password='abcd\'ef' AND estado=''

Pero como te digo, yo uso esa función simplemente por comodidad. Pero no hay ninguna diferencia entre usar tan solo mysql_real_escape_string() a secas.

Un saludo,

pepejaguar · #8 (**permalink**) 20/01/2008, 21:01

Okram: muchas gracias por tu valiosa ayuda. En este momento estoy implementando los mysql_real_escape_string() en mis consultas.

Ahora para evitar que se ejecute

Código PHP:

  index.php?uno=ABC&dos=http://dominio.malicioso/inyeccion

bastaría con los mysql_real_escape_string() o tendría que usar además un is_string() ya que los datos consultados pueden ser números, texto o ambos y en ocasiones pueden ser palabras separadas por un espacio o agrupadas con un signo + (mas)

Saludos y gracias por la ayuda.

#9 (**permalink**) 21/01/2008, 14:53

Depende de la funcion que tenga en tu sitio la variable $_GET['dos']. Si vas a insertarlos en una base de datos, la elección sería mysql_real_escape_string(), si vas a usar ese valor para determinar una acción, con un switch bastaría. Si vas a imprimirlo en pantalla, tienes funciones como htmlentities() y htmlspecialchars(). Qué uso le darás a esa variable?

Un saludo,

pepejaguar · #10 (**permalink**) 23/01/2008, 08:51

Cita:

Iniciado por okram

Depende de la funcion que tenga en tu sitio la variable $_GET['dos']. Si vas a insertarlos en una base de datos, la elección sería mysql_real_escape_string(), si vas a usar ese valor para determinar una acción, con un switch bastaría. Si vas a imprimirlo en pantalla, tienes funciones como htmlentities() y htmlspecialchars(). Qué uso le darás a esa variable?

Un saludo,

Las dos variablea $_GET['uno'] y $_GET['dos'] forman parte de un buscador, consultando en la base de datos y luego imprimiendo en pantalla lo consultado, además los dos $_GET se agregan a una tabla en la BD para después saber que términos se han utilizado con mayor frecuencia en las consultas del buscador.

¿Cual opción me recomendás?

Saludos.

#11 (**permalink**) 23/01/2008, 15:50

Si forma parte de un buscador debes asegurarte de:

1. Que no contenga código HTML o JS dañino
2. Evitar el SQL injection
3. Limitar la cadena de búsqueda.

Para el punto 1 tienes las funciones htmlentities() o htmlspecialchars(), dependiendo de cómo guardes los datos en la BD.

Para 2, tienes las funciones ya descritas más arriba.

Y finalmente, para limitar longitud de la cadena, tienes las funciones strlen() y substr().

Un saludo,