Ejemplos de inyeccion SQL

elangelcaido · #1 (**permalink**) 07/07/2005, 13:59

Hola,

Estoy empezando a ior hablar de SQL inyection, y mas o menos sé lo que es, pero me gusatria saber como se hace, es decir si alguien puede ponerme un ejemplo sencilo explicativo.
Si consigo entender bien este problema podre luchar contra él.

Gracias.

Spyn_ET · #2 (**permalink**) 07/07/2005, 14:44

A ver, a groso modo, para q sepas lo q es, te pondre un ejemplo muy facil:

dos.php

Código PHP:

  <a href="uno.php?id=4">Noticia 4</a>

uno.php

Código PHP:

  $result = mysql_query("SELECT * FROM TABLA WHERE id=".$_GET['id'].";"); 
$row = mysql_fetch_row($result); 
....

Teniendo, esto scripts, en cuanto desde dos.php te lanza a uno.php pasando por linea de direcciones la variable id, permite la inyeccion de SQL, haciendo alguien pudiera unirle algo a la sentencia y asi obteniendo resultados no deseados.

Por ejemplo, alguien podria hacer lo siguiente:

http://tusitio.com/uno.php?id=1%20UN...0TABLE%20TABLA

%20 = (espacio en blanco).
Agregando al final de la clave (DROP TABLE TABLA), lo cual borraria la tabla.

El tema es much mas amplio, pero esto es la base, espero q te haya ayudado en algo.

Un saludo.

tyo100 · #3 (**permalink**) 07/07/2005, 14:57

y como se haria para evitar que eso pase???

Spyn_ET · #4 (**permalink**) 07/07/2005, 15:45

Hombre, yo uso un sistema algo rudimentario :D, por q no conozco otro :(.

Código PHP:

  $result = mysql_query("SELECT * FROM TABLA WHERE id='".$_GET['id']."');

Meto el id entre comillas simples. Asi consigo q por lo menos pete si intenan algo.

Esto daria el siguiente resultado:

http://tusitio.com/uno.php?id=1%20UN...0TABLE%20TABLA

Código PHP:

  $result = mysql_query("SELECT * FROM TABLA WHERE id='1 UNION DROP TABLE TABLA');

Por lo tanto error. Pero se q no es una solucion muy buena. Si buscas por el foro encontraras algo seguro.

nicolaspar · #5 (**permalink**) 07/07/2005, 16:05

Y a eso le agrego una ' en el get, y te rompo todo de nuevo, quedaria algo asi:

http://tusitio.com/uno.php?id=1'%20DROP%20TABLE%20TABLA
$result = mysql_query("SELECT * FROM TABLA WHERE id='1' UNION DROP TABLE TABLA');

Para que esto no pase, dos cosas basicas. Una, nuca llamar directamenre al get dentro del sql, hacer algo como:

$var = isset($_GET["var"]) ? intval($_GET["var"]): 0; #Para el caso numerico

$result = mysql_query("SELECT * FROM TABLA WHERE id='".$var."');

Igual, como se inicio, a groso modo.

PD: Siguiendo lo basico, lo peor no es un drop, truncate o lo que sea, por que el backup siempre lo arregla todo, sino que te entren por la db al host, o roben info.

PD2: Un buen amigo para strings es la funciona addslashes.

darksteel01 · #6 (**permalink**) 07/07/2005, 16:59

$result = mysql_query("SELECT * FROM TABLA WHERE id=".$_GET['id'].";");
$row = mysql_fetch_row($result);
....

eos no se puede usar?

nicolaspar · #7 (**permalink**) 07/07/2005, 17:55

darksteel01, con toda la buena onda del mundo, no podes preguntar eso despues de lo que se posteo arriba...media pila;)

PD: Estaria bueno que se siga con esto, proponiendo ejemplos y demás, seguramente terminemos creando un thread mas que interesante.

richardinj · #8 (**permalink**) 07/07/2005, 21:14

Esto tb sucede

$sql="select * from usuarios where login=$login and clave=$clave";

cuando entro como usuario a una cuenta y pongo esto en la contraseña ' or '1'='1

entro al sistemas porque la cadena queda asi

$sql="select * from usuarios where login=jose14 and clave= or 1=1 ";

y como es verdadero (true)

enro al sistemas

esos e arregla usando esto

$clave=str_replace("x","'",$clave)

algo asi...

Entro

Jep · #9 (**permalink**) 08/07/2005, 04:26

Richardinj estas seguro?
Yo lo he comprobado ahora con mi web, y utilizo un sistema identico al tuyo, por suerte cuando pongo lo que me has indicado me dice que la contraseña no es valida.
responde porfavor ;P!

Anarko · #10 (**permalink**) 08/07/2005, 06:51

Carambas amigos,

Solo hacer:

$var=htmlentities(addslashes($var));// Por cada var.

Aunque por defecto el addslashes esta implicito en la config de PHP.

Y si es paginado el tradicional: if(!is_numeric($var))$var=1// La pagina 1

Otras cosillas hay, pero eso es un buen inicio.

El profesor Josemi y Cluster nos han explicado bastante de eso, usad las FAQS.

Anarko · #11 (**permalink**) 08/07/2005, 06:56

Precisamente acabo de venirme a FDW por que acabo de meter este user en el form:

+%27select+%2A+FROM+users%27+

Y vieran lo que paso...

(Por tener un eregi() en una parte del codigo)...

Por eso:

http://www.forosdelweb.com/f18/if-in_array-sin-diferencia-minus-mayus-como-314865/#post1169224

Ayudenme

Spyn_ET · #12 (**permalink**) 08/07/2005, 11:24

Cita:

Iniciado por nicolaspar

Y a eso le agrego una ' en el get, y te rompo todo de nuevo, quedaria algo asi:

http://tusitio.com/uno.php?id=1'%20DROP%20TABLE%20TABLA
$result = mysql_query("SELECT * FROM TABLA WHERE id='1' UNION DROP TABLE TABLA');

Para que esto no pase, dos cosas basicas. Una, nuca llamar directamenre al get dentro del sql, hacer algo como:

$var = isset($_GET["var"]) ? intval($_GET["var"]): 0; #Para el caso numerico

$result = mysql_query("SELECT * FROM TABLA WHERE id='".$var."');

Igual, como se inicio, a groso modo.

PD: Siguiendo lo basico, lo peor no es un drop, truncate o lo que sea, por que el backup siempre lo arregla todo, sino que te entren por la db al host, o roben info.

PD2: Un buen amigo para strings es la funciona addslashes.

nicolaspar, ostia vaya fallo mas tonto :D
la verdad es q ni lo habia pensado. La verdad es q habra q usar el addslahes para anular estas comillas cabro... :D

Muchas gracias.

richardinj · #13 (**permalink**) 08/07/2005, 14:10

Cita:

Iniciado por Jep

Richardinj estas seguro?
Yo lo he comprobado ahora con mi web, y utilizo un sistema identico al tuyo, por suerte cuando pongo lo que me has indicado me dice que la contraseña no es valida.
responde porfavor ;P!

.. esta en todas partes ha... que raro...

En este post esta todo www.maestrosdelweb.com/editorial/inyecsql/

richardinj · #14 (**permalink**) 08/07/2005, 14:11

Es igual

tanto como para ASP y PHP

en los dos casos....

farra · #15 (**permalink**) 05/04/2008, 01:03

usa esta funcion para todas las variables externas $_GET $_POST $_COOKIE etc...

Código PHP:

   
if (!function_exists("GetSQLValueString")) { 
function GetSQLValueString($theValue, $theType, $theDefinedValue = "", $theNotDefinedValue = "")  
{ 
  $theValue = get_magic_quotes_gpc() ? stripslashes($theValue) : $theValue; 
 
  $theValue = function_exists("mysql_real_escape_string") ? mysql_real_escape_string($theValue) : mysql_escape_string($theValue); 
 
  switch ($theType) { 
    case "text": 
      $theValue = ($theValue != "") ? "'" . $theValue . "'" : "NULL"; 
      break;     
    case "long": 
    case "int": 
      $theValue = ($theValue != "") ? intval($theValue) : "NULL"; 
      break; 
    case "double": 
      $theValue = ($theValue != "") ? "'" . doubleval($theValue) . "'" : "NULL"; 
      break; 
    case "date": 
      $theValue = ($theValue != "") ? "'" . $theValue . "'" : "NULL"; 
      break; 
    case "defined": 
      $theValue = ($theValue != "") ? $theDefinedValue : $theNotDefinedValue; 
      break; 
  } 
  return $theValue; 
} 
}

ejemplo de llamando a la funcion:

Código PHP:

  $variable=GetSQLValueString($_GET['Id'],"int");

NUCKLEAR · #16 (**permalink**) 05/04/2008, 08:31

Y despues dicen que la ayuda nunca llega, tarde pero llega... :)
Saludos