Como Proteger mi script contra inyeccion SQL / XSS ?

carlosego · #1 (**permalink**) 22/03/2010, 14:15

Hola!
Estoy realizando un script en PHP y estoy en el tema de la seguridad... Por lo pronto me gustaria me dijeran que tan inseguro es este script:

(Basicamente recibe del formulario un option button (status), un input hidden que es el id del producto, in input text que es el nuevo precio, al darle clic en enviar se inserta en la base de datos el nuevo precio y el nuevo status (1,0)

Código:

//POST ENVIAR

if (isset($_POST['enviar'])) //Verifica si se apreto el boton enviar
{ 
		
		$status=$_POST['status']; 
		$id=$_POST['id'];
		$precio=$_POST['precio'];		
		$result = mysql_query("update products set products_price= \"$precio\", products_status = \"$status\" where products_id = \"$id\"",$dbf->conn)
		or die(mysql_error()); 
}
//FIN ENVIAR

Triby · #2 (**permalink**) 22/03/2010, 14:23

Completamente inseguro, deberias verificar y validar cada dato que estas recibiendo.

Valores numericos:
$id = $_POST['id'] *1; // Multiplicar por 1
$id = intval($_POST['id']); // Forzar valores enteros
$id = float $_POST['id']; // Forzar punto flotante

Valores alfanumericos (cadenas y textos):
$id = strip_tags($_POST['id']); // Eliminar etiquetas html para minimizar riesgo de XSS

Antes de incluir cadenas en una consulta:
$id = mysql_real_escape_string($id); // Eliminar riesgos de inyeccion SQL

Adicionalmente debes validar cada campo:
Numericos: Si pueden ser cero, "menores que", "mayores que", etc.
Textos: Cadena vacia, longitud minima y maxima, tipo de caracteres permitidos, etc.

carlosego · #3 (**permalink**) 22/03/2010, 14:59

Vaya! Gracias por tu respesta!! Pense que con validar los datos en la base de datos podría ser suficiente! Pero bueno, todavía hay talacha por hacer.

Muchas Gracias

Hidek1 · #4 (**permalink**) 22/03/2010, 15:21

agrego a lo que dijo @Triby
una buena practica es usar sprintf() con las consultas para agregar seguridad

saludos!