[SOLUCIONADO] [Consulta] Codigo AntiSqlInject

s00rk · #1 (**permalink**) 26/01/2013, 23:45

Bueno mas que nada vengo a mostrar un codigo que tengo tengo desde hace tiempo y he modificado y pues mas que nad deseaba ver si alguien cree que podria mejorarlo o ve por ahi algun error o algo que podria mejorarle y pues tambien pues que lo use a quien le sirva si le gusta n.n

Bueno ya para no dar tanto rollo aqui os muestro:

Código PHP:

Ver original<?php
function limpiar($valor)
{
    $check = $valor;
 
        $search = array('char(', 'chr(', 'chr=', 'chr%20', '%20chr', 'wget%20', '%20wget', 'wget(',
        'cmd=', '%20cmd', 'cmd%20', 'rush=', '%20rush', 'rush%20',
        'union%20', '%20union', 'union(', 'union=', 'echr(', '%20echr', 'echr%20', 'echr=',
        'esystem(', 'esystem%20', 'cp%20', '%20cp', 'cp(', 'mdir%20', '%20mdir', 'mdir(',
        'mcd%20', 'mrd%20', 'rm%20', '%20mcd', '%20mrd', '%20rm',
        'mcd(', 'mrd(', 'rm(', 'mcd=', 'mrd=', 'mv%20', 'rmdir%20', 'mv(', 'rmdir(',
        'chmod(', 'chmod%20', '%20chmod', 'chmod(', 'chmod=', 'chown%20', 'chgrp%20', 'chown(', 'chgrp(',
        'locate%20', 'grep%20', 'locate(', 'grep(', 'diff%20', 'kill%20', 'kill(', 'killall',
        'passwd%20', '%20passwd', 'passwd(', 'telnet%20', 'vi(', 'vi%20',
        'insert%20into', 'select%20', 'fopen', 'fwrite', '%20like', 'like%20',
        '$_request', '$_get', '$request', '$get', '.system', 'HTTP_PHP', '&aim', '%20getenv', 'getenv%20',
        'new_password', '&icq','/etc/password','/etc/shadow', '/etc/groups', '/etc/gshadow',
        'HTTP_USER_AGENT', 'HTTP_HOST', '/bin/ps', 'wget%20', 'uname\x20-a', '/usr/bin/id',
        '/bin/echo', '/bin/kill', '/bin/', '/chgrp', '/chown', '/usr/bin', 'g\+\+', 'bin/python',
        'bin/tclsh', 'bin/nasm', 'perl%20', 'traceroute%20', 'ping%20', '.pl', 'lsof%20',
        '/bin/mail', '.conf', 'motd%20', 'HTTP/1.', '.inc.php', 'config.php', 'cgi-', '.eml',
        'file\://', 'window.open', '<script>', 'javascript\://','img src', 'img%20src','.jsp','ftp.exe',
        'xp_enumdsn', 'xp_availablemedia', 'xp_filelist', 'xp_cmdshell', 'nc.exe', '.htpasswd',
        'servlet', '/etc/passwd', 'wwwacl', '~root', '~ftp', '.js', '.jsp', 'admin_', '.history',
        'bash_history', '.bash_history', '~nobody', 'server-info', 'server-status', 'reboot%20', 'halt%20',
        'powerdown%20', '/home/ftp', '/home/www', 'secure_site, ok', 'chunked', 'org.apache', '/servlet/con',
        '<script', 'UPDATE', 'SELECT', 'DROP', '/robot.txt' ,'/perl' ,'mod_gzip_status', 'db_mysql.inc', '.inc', 'select%20from',
        'select from', 'drop%20', 'getenv', 'http_', '_php', 'php_', 'phpinfo()', '<?php', '?>', 'sql=');
 
        $valor = str_replace($search, '', $valor);
 
        $valor = preg_replace(sql_regcase("/(from|select|insert|delete|where|drop table|show tables|#|\*|--|\\\\)/"),"",$valor);
        $valor = trim($valor);
        $valor = strip_tags($valor);
        $valor = addslashes($valor);
        $valor = str_replace("'", "''", $valor);
        $valor = function_exists("mysql_real_escape_string") ? mysql_real_escape_string($valor) : mysql_escape_string($valor); 
        if( $check != $valor )
        {
            global $DATA;
            $logf = fopen("/logs/sqli.txt", "a+");
            fprintf($logf, "%s - [ID=%s NOMBRE=%s] - Fecha: %s IP: %s Valor: %s, Corregido: %s\r\n", $_SERVER['PHP_SELF'], $DATA['IDUS'], $DATA['NOMBRE'], date("d-m-Y h:i:s A"), $_SERVER['REMOTE_ADDR'], $check, $valor );
            fclose($logf);
            return '';        
        }
        return( $valor );
}
?>

botdevel · #2 (**permalink**) 26/01/2013, 23:59

Hola, yo soy muy novatillo en esto de PHP, entonces no sé en donde se pone este código y qué hace ¿Podrías poner una breve explicación? Muchas gracias.

Saludos.

s00rk · #3 (**permalink**) 27/01/2013, 01:05

Cita:

Iniciado por botdevel

Hola, yo soy muy novatillo en esto de PHP, entonces no sé en donde se pone este código y qué hace ¿Podrías poner una breve explicación? Muchas gracias.

Saludos.

Hola, bueno en si el tema mas que nada era para que opinaran sobre como esta pero ok hehehe

Mira lo que debes hacer es crear un nuevo archivo llamado funciones.php o como desees, ahora en los archivos donde hagas uso de $_POST o de $_GET, llamas a este archivo con la funcion include y ya ahora utilizas la funcion limpiar de este codigo que coloque, ejemplo

Código PHP:

Ver original<?php
    include("funcion.php");
    $variable = limpiar( $_POST['variablerecivbida'] );
    if(empty( $variable))
    {
        die("No se permiten datos vacios");
    }
?>

Y con eso ya pues la variable se limpiara y si contenia codigo malicioso o con posible SQLi pues regresara un string vacio, y ya tu checas que si esta vacio pues le muestras un mensaje o algo ahi ya dependera de ti.

E igual como te puedes dar cuenta en el srvidor te genera un archivo donde guarda los detalles del dato que fue detectado como posible inject.

botdevel · #4 (**permalink**) 27/01/2013, 04:06

Muchas gracias amigo, lamento no poder opinar, pero sí que probaré tu código, es realmente interesante y añade un nivel de seguridad que es lo que vengo buscando, aunque por el momento solo he encontrado que mejor me deslinde de responsabilidad y haga responsable de la seguridad a otros jajajajajá de nuevo gracias por compartir tu conocimiento.

Saludos!!

Triby · #5 (**permalink**) 27/01/2013, 08:00

Tu función no es correcta, tal vez pueda evitar inyecciones en cierta medida, pero no funcionará como esperas, imagina que alguien escribe en inglés:

Cita:

I'm from Mexico and I want to know where are you from

Vas a eliminar las palabras marcadas en negrillas y no se trata realmente de un ataque.

Es mucho mejor la función que compartió GatorV en: http://www.forosdelweb.com/f18/aport...ar-xss-948577/

Y, para evitar inyección SQL, aquí hay algunas sugerencias: http://www.forosdelweb.com/f18/aport...8/#post4265377

botdevel · #6 (**permalink**) 27/01/2013, 15:03

Hola a los dos, sobre todo Triby, ese tocho que escribiste es justo lo que buscaba, esas recomendaciones de seguridad es por lo que venía preguntando, al final y de casualidad mientras le decias al compañero que su trabajo es inútil, me ayudaste, de una forma rara pero igual se agradece.

Gracias Triby.

pateketrueke · #7 (**permalink**) 27/01/2013, 15:39

Cita:

Iniciado por botdevel

Hola a los dos, sobre todo Triby, ese tocho que escribiste es justo lo que buscaba, esas recomendaciones de seguridad es por lo que venía preguntando, al final y de casualidad mientras le decias al compañero que su trabajo es inútil, me ayudaste, de una forma rara pero igual se agradece.

Gracias Triby.

¿Dónde dice que su trabajo es inútil?

No lo veo, no comprendo, nadie ha dicho eso.

botdevel · #8 (**permalink**) 27/01/2013, 16:30

En "Tu función no es correcta" y luego "Es mucho mejor la función que compartió GatorV en..." implícitamente puedes ver que algo que no es correcto seguido de una recomendación de algo que es mucho mejor, deja ver el carácter inútil de nuestro sujeto principal, aunque bastaba con "incorrecto" o si para ti algo incorrecto es útil pues...

Saludos.

s00rk · #9 (**permalink**) 27/01/2013, 18:13

Cita:

Iniciado por Triby

Tu función no es correcta, tal vez pueda evitar inyecciones en cierta medida, pero no funcionará como esperas, imagina que alguien escribe en inglés:

Vas a eliminar las palabras marcadas en negrillas y no se trata realmente de un ataque.

Es mucho mejor la función que compartió GatorV en: http://www.forosdelweb.com/f18/aport...ar-xss-948577/

Y, para evitar inyección SQL, aquí hay algunas sugerencias: http://www.forosdelweb.com/f18/aport...8/#post4265377

Ok, Gracias.

SI es que de hecho donde he usado este codigo han sido solo para personas de habla hispana, por lo que no tendrian que poner ese tipo de cosas, pero igual mejor paso a checar lo qu dices de esa foma pues no me limito en el lenguaje o de las personas que entren.

Sobre lo demas me limito a responder ya que no va al tema, pero si justo esto era lo que deseaba algo mas complejo o que tuviera mejor funcionamiento que el mio n_n

Triby · #10 (**permalink**) 27/01/2013, 21:44

Realmente has considerado muchas posibilidades en tu función, pero, suponiendo que tú mismo quieras poner trozos de código (a modo de tutorial) en tu web, no podrías incluir algo como:

Cita:

SELECT tabla.*, tabla1.* FROM tabla
LEFT JOIN tabla1 ON tabla1.campo = tabla.campo
WHERE filtro

Entonces, no es tanto que hagas tu web para habla hispana, inglesa, multi-idioma, etc., sino buscar la mejor opción para sanear las entradas; alguna vez ya me vi en una situación similar y tuve que reescribir mucho código.

s00rk · #11 (**permalink**) 27/01/2013, 23:28

Cita:

Iniciado por Triby

Realmente has considerado muchas posibilidades en tu función, pero, suponiendo que tú mismo quieras poner trozos de código (a modo de tutorial) en tu web, no podrías incluir algo como:

Entonces, no es tanto que hagas tu web para habla hispana, inglesa, multi-idioma, etc., sino buscar la mejor opción para sanear las entradas; alguna vez ya me vi en una situación similar y tuve que reescribir mucho código.

Pues eso no lo tenia contemplado ya que comúnmente las web que creo son para usuarios donde se trata de login, modificación de datos de usuario y tal, por lo que no tendrian que poner ese tipo de cosas, aunque muchas gracias igual había empezado ya a leer sobre PDO y el uso de prepare, bindParam para así ahorrarme algo de código en conjunto del antixss.