Ejemplo/Aporte Separar conexion y consultas + seguridad en pocas líneas

IEKK · #1 (**permalink**) 16/07/2011, 14:24

Bueno me animo a dejarles estas 3 pequeñas funciones por si pueden servir de ayuda a aquellos que comienzan con php y las consultas.

Muchas veces veo en este foro y en otros lugares que la gente copia al principio de cada página la conexión de la base de datos y después de todo el código lo acaba con varios mysql_free_result() y mysql_close() (Si es que los ponen)
También es habitual gente que pregunta donde está su error en la consulta cuando basta con añadir un mysql_error() para saberlo.

Igualmente la gente repite demasiado los mysql_query() y los mysql_fetch
Podemos hallar los datos con una sola línea ayudándonos de estas funciones que me dió por hacer.

Código PHP:

  if($row = get_rows("SELECT id FROM registro WHERE nick='$nick' and password='$password'") )

Muestro un ejemplo sencillito que hice:

connection.php

Código PHP:

  class DBconnection{ 
     
    public $db_data;   
      
    function connect(){ 
    if($this->db_data = mysql_connect("***", "***", "***") or die(mysql_error()) ) 
        return ( $db_name = mysql_select_db("***", $this->db_data ) or die(mysql_error()) ) ? true : false; 
    } 
} 
 
function get_rows($result=''){ 
    $con = new DBconnection; 
    if ($con->connect() and !empty($result)){ 
         
        $result=mysql_query($result) or die(mysql_error());  
        $row = mysql_fetch_array($result); 
         
        mysql_free_result($result); 
        mysql_close($con->db_data); 
         
        return $row; 
    } 
} 
 
//Seguridad para evitar ataques 
function clean_var($var=''){ 
    $con = new DBconnection; 
    if ($con->connect()) 
        return mysql_real_escape_string(trim(strip_tags(stripslashes($var)))); 
}

Y aquí un ejemplo de un login para mostrar como se usa. Así de paso puede ayudar a quienes empiezen en este mundillo.

Código PHP:

  <?php 
include("conexion/connection.php"); 
 
if (isset ($_POST["iniciar"] )){ 
 
    $nick     = clean_var($_POST["nick"]); 
    $password = clean_var($_POST["pass"]); 
     
    if($row = get_rows("SELECT id FROM registro WHERE nick='$nick' and password='$password'") ){ 
        session_start(); 
        $_SESSION["user_id"] = $row["id"]; 
        $_SESSION["user_name"] = $nick; 
        echo'<script languaje="javascript">alert(\'Bienvenido '.$nick.'.\');</script>'; 
    } 
    else 
        echo'<script languaje="javascript">alert(\'Los datos no coinciden.\');</script>'; 
} 
 
if (isset ($_POST["salir"]) and isset($_SESSION["user_id"]) ) // cerrar session 
    session_destroy(); 
?> 
 
<?php if( ! isset($_SESSION["user_id"]) ) { ?> 
 
<form action="<?php $_SERVER["PHP_SELF"] ?>" method="post"> 
<input type="text"     name="nick"   maxlength="14"  /> 
<input type="password" name="pass"   maxlength="14"  /> 
<input type="submit"   name="iniciar" value="Acceder"/> 
</form> 
 
<?php } else { ?> 
 
<form action="<?php $_SERVER["PHP_SELF"] ?>" method="post"> 
<input type="text"   name="nick"  readonly="readonly" value="<?php echo $_SESSION["user_name"] ?>" /> 
<input type="submit" name="salir" value="Salir" /> 
</form> 
 
<?php } ?>

Explicaré las funciones ya que el ejemplo va para quienes comienzan:

connect() -> Establece la conexión a la base de datos.
No llamaremos a esta función que está dentro de una clase y orientada a objetos, sino que sólo abriremos la conexión cuando se haga una consulta.
clean_var() -> Se encarga de la seguridad de las variables que enviemos por POST o GET.
1. Abrimos la conexión para poder usar mysql_real_escape_string() y evitar posibles inyecciones de código.
2. Quitamos cualquier espacio de más usando trim()
3. Eliminamos posibles etiquetas y caracteres como < > con strip_tags()
4. quitamos posibles barras de un string con comillas escapadas con stripslashes().
5. IMPORTANTE: recuerda que es un ejemplo para un login, muchas de estas funciones pueden ser innecesarias, por ejemplo si quieres enviar un código html por post.
get_rows() -> Realiza la consulta, devuelve el array con los datos, libera la memoria de la consulta y cierra la conexión.

Seguramente sea mejorable en cuyo caso cualquier idea siempre es bien recibida

maco8899 · #2 (**permalink**) 16/07/2011, 19:07

olle pero que buena informacion pero lo de clean_var( me dejo desconsertado ¿esque no basta con mysql_real_escape_string ?¿cual es el problema?

Sourcegeek · #3 (**permalink**) 16/07/2011, 19:31

Buen aporte, sólo que deberías 'ampliar' un poco la protección que ofrece clean_var. Por ejemplo, para inyecciones del tipo:

Código SQL:

Ver original1 AND 1=0 UNION SELECT TABLE_NAME,NULL FROM informacion_schema.TABLES

De ahí en más, buen aporte!

IEKK · #4 (**permalink**) 17/07/2011, 06:54

Cita:

Iniciado por maco8899

olle pero que buena informacion pero lo de clean_var( me dejo desconsertado ¿esque no basta con mysql_real_escape_string ?¿cual es el problema?

No hay ningún problema con esa función pero usar sólo mysql_real_escape_string no asegura al 100% todos los tipos de inyección.
Fíjate lo que comenta Sourcegeek

IEKK · #5 (**permalink**) 17/07/2011, 09:07

Cita:

Iniciado por Sourcegeek

Buen aporte, sólo que deberías 'ampliar' un poco la protección que ofrece clean_var. Por ejemplo, para inyecciones del tipo:

Código SQL:

Ver original1 AND 1=0 UNION SELECT TABLE_NAME,NULL FROM informacion_schema.TABLES

De ahí en más, buen aporte!

Bueno, la verdad es que lo hice sencillito para la gente, pero efectivamente me di cuenta que la seguridad era mejorable.
Más simple usando expresiones regulares.

Código PHP:

  function clean_var($var=''){ 
    $con = new DBconnection; 
    if ($con->connect()) 
        return mysql_real_escape_string(trim(preg_replace("/[^a-z0-9]/","",$var))); 
}

Saludos

maco8899 · #6 (**permalink**) 19/07/2011, 15:20

Esta fuerte eso tio mysql_real_escape_string(trim(preg_replace("/[^a-z0-9]/

pero donde lo coloco ,.tendria que ponerselo a todos los envios por post en tyoe text y etxt area?

IEKK · #7 (**permalink**) 19/07/2011, 16:03

Cita:

Iniciado por maco8899

Esta fuerte eso tio mysql_real_escape_string(trim(preg_replace("/[^a-z0-9]/

pero donde lo coloco ,.tendria que ponerselo a todos los envios por post en tyoe text y etxt area?

Depende de que valores vayas a pasar.
El ejemplo que pongo es para un login, permitiendo únicamente valores alfanuméricos, pero si tú quieres enviar por ejemplo código html en un textarea, deberías modificar la expresión regular o cambiar la función.

Ese preg_replace("/[^a-z0-9]/ elimina de la variable todos los caracteres que no sean números o letras.

maco8899 · #8 (**permalink**) 19/07/2011, 19:51

pero yo utilizo cosas como [b] para negrita y cosas asi. ¿se puede?

Triby · #9 (**permalink**) 19/07/2011, 20:06

IEKK, muy buen aporte, vendra muy bien principalmente para los que comienzan con PHP, solo una observacion:

session_start(); deberia ser la primera linea del script, para evitar problemas es necesario iniciar sesion siempre, independientemente de que el usuario haya ingresado correctamente o no, en estos casos, el control lo haces simplemente creando / modificando variables en $_SESSION.

IEKK · #10 (**permalink**) 20/07/2011, 03:32

Cita:

Iniciado por maco8899

pero yo utilizo cosas como [b] para negrita y cosas asi. ¿se puede?

En ese caso no, pero tan sólo modifica la función o crea otra que te permita añadir esos valores.

Teniendo en cuenta que hablas de BBcode sólo tienes que añadir a la expresión regular que permita los caracteres / [ ] =

Saludos

IEKK · #11 (**permalink**) 20/07/2011, 03:43

Cita:

Iniciado por Triby

IEKK, muy buen aporte, vendra muy bien principalmente para los que comienzan con PHP, solo una observacion:

session_start(); deberia ser la primera linea del script, para evitar problemas es necesario iniciar sesion siempre, independientemente de que el usuario haya ingresado correctamente o no, en estos casos, el control lo haces simplemente creando / modificando variables en $_SESSION.

Buen consejo.
Es cierto, no daría problemas ejecutando el ejemplo tal cual, pero si el usuario abriese la sesión después de haber enviado texto en la página podía dar el típico: Warning: session_start(): Cannot send session cache limiter - headers already sent

Jejeje tenía que haberlo tenido en cuenta y más teniendo en cuenta que es un post para la gente que recién comienza.

Edito: maco8899, recordé un post en el foro de GatorV donde publica una función que puedes usar si quieres enviar por post BBcode o cualquier otra cosa de forma segura.

http://www.forosdelweb.com/f18/funci...5/#post3497564

maco8899 · #12 (**permalink**) 25/07/2011, 22:53

IEKK el de bbcode no funciona me deja la plantalla en blanco.

Sourcegeek · #13 (**permalink**) 25/07/2011, 23:21

Deberías abrir un nuevo post detallando el problema y poniendo el código que utilizas para no desvirtuar éste tema y poderte brindar una ayuda detallada.

Saludos!

maco8899 · #14 (**permalink**) 26/07/2011, 01:01

ok voy a abrirlo

jqcod · #15 (**permalink**) 28/11/2011, 05:41

hola,
Si no lo he entendido mal, la función get_rows da como resultado una matriz ($row) con los resultados del select (en esta caso el id), pero y si necesitaramos que $row recogiera varias lineas ¿como podría reestructurar o recorrer posteriormente la matriz?
el caso práctico es que el select arrojara varios resultados como podría ser get_rows("SELECT * FROM productos WHERE precio > 10");
Gracias

jqcod · #16 (**permalink**) 29/11/2011, 22:43

El problema que me encontraba es que si un query da varios resultados, la función get_rows me recogía solo el primer resultado.

al final me lo resolví con el siguiente cambio

function get_rows($result=''){
$con = new DBconnection;
if ($con->connect() and !empty($result)){

$result=mysql_query($result) or die(mysql_error());

$i=0;
$row_result='';
while($row = mysql_fetch_assoc($result)){
$row_result[$i] = $row;
$i++
}

mysql_free_result($result);
mysql_close($con->db_data);

return $row_result;
}
}

No estoy seguro de lo correcto que sea el código pero me funciona.
De esta forma la función me construye un array indexado ($row_result) en el que posteriormente puedo ir recuperando los diferentes resultados almacenados en los indices [0],[1],[2] [..... cada uno de ellos compuesto por los campos que se preguntaba en el query.