Eregi (), como reemplazar?

kasumidie · #1 (**permalink**) 04/10/2012, 13:05

Código PHP:

  $Usuario = ($_POST['slogin']); 
$Pass = ($_POST['spass']); 
if ((eregi("[^a-zA-Z0-9_-]", $Usuario)) || (eregi("[^a-zA-Z0-9_-]", $Pass))) 
{ 
echo("<font color='#FF0000'>SQL Injection Detectado. Use  letras de A a Z e numeros de 0 a 9"); 
exit(); 
}

Estoy utilizando el código anterior para evitar que hagan SQLInyection, al actualizar a PHP 5.4, no funciona más. De que forma puede volver a funcionar, estuve leyendo acerca de preg_match, pero no se como hacerlo funcionar. :( Help.

skiper0125 · #2 (**permalink**) 04/10/2012, 13:31

Hola que tal.

Prueba con lo siguiente y comentas.

Código PHP:

  
$Usuario = ($_POST['slogin']); 
$Pass = ($_POST['spass']); 
if ((preg_match('/[^A-Za-z0-9_]/i', $Usuario)) || (preg_match('/[^A-Za-z0-9_]/i', $Pass))) 
{ 
echo("<font color='#FF0000'>SQL Injection Detectado. Use  letras de A a Z e numeros de 0 a 9"); 
exit(); 
}

Saludos

kasumidie · #3 (**permalink**) 04/10/2012, 23:14

Cita:

Iniciado por skiper0125

Hola que tal.

Prueba con lo siguiente y comentas.

Código PHP:

   
$Usuario = ($_POST['slogin']);  
$Pass = ($_POST['spass']);  
if ((preg_match('/[^A-Za-z0-9_]/i', $Usuario)) || (preg_match('/[^A-Za-z0-9_]/i', $Pass)))  
{  
echo("<font color='#FF0000'>SQL Injection Detectado. Use  letras de A a Z e numeros de 0 a 9");  
exit();  
}

Saludos

Me sirvio, para poder arreglar los campos en la parte del registro, pero sigo sin poder aplicarlo de ninguna forma al login.

te muestro que es lo que tengo para que orientes un poco.

Código PHP:

  <?php 
session_start(); 
//datos para establecer la conexion con la base de mysql. 
mysql_connect('localhost','xx','xx')or die ('Ha fallado la conexión: '.mysql_error()); 
mysql_select_db('xx')or die ('Error al seleccionar la Base de Datos: '.mysql_error()); 
 
if(trim($_POST["usuario"]) != "" && trim($_POST["password"]) != "") 
{ 
//Necesito que verifique que no hayan caracteres extraños, y que me de el error de Intento de Inyección SQL. 
    $usuario = $_POST["usuario"]; 
    $password = $_POST["password"]; 
    $result = mysql_query('SELECT password, usuario FROM usuarios WHERE usuario=\''.$usuario.'\''); 
    if($row = mysql_fetch_array($result)){ 
        if($row["password"] == $password){ 
            $_SESSION["k_username"] = $row['usuario']; 
            echo 'Has sido logueado correctamente '.$_SESSION['k_username'].' <p>'; 
            echo '<a href="index.php">Index</a></p>'; 
 
  echo'<script>alert("El usuario o contraseña son erroneos.");</script>'; 
  echo'<SCRIPT LANGUAGE="javascript"> 
            location.href = "one.html"; 
            </SCRIPT>'; 
        } 
    }else{ 
          echo'<script>alert("El usuario o contraseña son erroneos.");</script>'; 
  echo'<SCRIPT LANGUAGE="javascript"> 
            location.href = "one.html"; 
            </SCRIPT>'; 
    } 
    mysql_free_result($result); 
}else{ 
     echo'<script>alert("Debe especificar un usuario y password.");</script>'; 
 echo'<SCRIPT LANGUAGE="javascript"> 
            location.href = "one.html"; 
            </SCRIPT>'; 
} 
mysql_close(); 
?>

NSD · #4 (**permalink**) 05/10/2012, 07:58

Cita:

Me sirvio, para poder arreglar los campos en la parte del registro, pero sigo sin poder aplicarlo de ninguna forma al login.

porque no lo metes en una funcion y la llamas siempre que la nesesites?la funcion devolveria true o false y tu preguntarias por ella, tambien recibe como parametro la variable a evaluar...

kasumidie · #5 (**permalink**) 05/10/2012, 15:14

Cita:

Iniciado por NSD

porque no lo metes en una funcion y la llamas siempre que la nesesites?la funcion devolveria true o false y tu preguntarias por ella, tambien recibe como parametro la variable a evaluar...

Intente hacer una funcion, la cual no resulto, probablemente porque no tengo los conocimientos suficientes.

Código PHP:

Ver originalfunction check($usuario){
if(!preg_match("/[^A-Za-z0-9_]/i", $usuario))
return false;
else
return true;
}

Esa función arme, pero no se si es correcta, pero no funciona, y además quiero que me avise con un error de SQL injection

kasumidie · #6 (**permalink**) 05/10/2012, 17:16

Disculpen el doble post;
esto es lo que me parecio lógico hacer

Código PHP:

Ver original$check = '/[^A-Za-z0-9_]/i';
 
if(!preg_match($check, trim($_POST["usuario"])) != "" && !preg_match($check, trim($_POST["password"])) != "")
{

Pero ahora como hago para que me tire un error si es que se incluye un caracter de esos? Ya que si pongo un "@" por ejemplo, me dice que introduzca una clave o usuario, y eso corresponde a cuando se deja en blanco, alguna forma de hacer que tire los 2 errores? cuando haya SQL injection que tire ese error, y cuando se deje en blanco que diga el que esta ahora.

NSD · #7 (**permalink**) 05/10/2012, 17:59

Cita:

Pero ahora como hago para que me tire un error si es que se incluye un caracter de esos? Ya que si pongo un "@" por ejemplo, me dice que introduzca una clave o usuario, y eso corresponde a cuando se deja en blanco, alguna forma de hacer que tire los 2 errores? cuando haya SQL injection que tire ese error, y cuando se deje en blanco que diga el que esta ahora.

Cita:

Intente hacer una funcion, la cual no resulto, probablemente porque no tengo los conocimientos suficientes.

pues te recomiendo que leas algun manual un poco compañero, lo que pides no es complicado, te dejo el codigo pero intenta razonarlo asi aprendes y mejoras

Código PHP:

Ver original<?php 
    Function ValidoSQL($String){
        If(!preg_match("/[^A-Za-z0-9_]/i", $String)){
            $Estado = False;
        } Else {
            $Estado = True;
        }
        Return ($Estado);
    }
    If(!ValidoSQL(trim($_POST['usuario'])) Or !ValidoSQL(trim($_POST['password']))){
            $Estado = 'Error de inyeccion sql!';
    } Else {
        If(($_POST['usuario'] == '') Or ($_POST['password'] == '')){
            $Estado = 'Datos invalidos, completa los campos!';
        } Else {
            $Estado = 'Datos OK.';
        }
    }   
?>

Saludos!

kasumidie · #8 (**permalink**) 05/10/2012, 18:34

Cita:

Iniciado por NSD

pues te recomiendo que leas algun manual un poco compañero, lo que pides no es complicado, te dejo el codigo pero intenta razonarlo asi aprendes y mejoras

Código PHP:

Ver original<?php 
    Function ValidoSQL($String){
        If(!preg_match("/[^A-Za-z0-9_]/i", $String)){
            $Estado = False;
        } Else {
            $Estado = True;
        }
        Return ($Estado);
    }
    If(!ValidoSQL(trim($_POST['usuario'])) Or !ValidoSQL(trim($_POST['password']))){
            $Estado = 'Error de inyeccion sql!';
    } Else {
        If(($_POST['usuario'] == '') Or ($_POST['password'] == '')){
            $Estado = 'Datos invalidos, completa los campos!';
        } Else {
            $Estado = 'Datos OK.';
        }
    }   
?>

Saludos!

Entiendo perfectamente, pero el problema lo tengo cuando lo quiero aplicar a lo que ya tengo, entendes?

Lo que tengo yo es lo siguiente...

Código PHP:

 
 <?php 
session_start(); 
//datos para establecer la conexion con la base de mysql. 
mysql_connect('localhost','xx','xx')or die ('Ha fallado la conexión: '.mysql_error()); 
mysql_select_db('xx')or die ('Error al seleccionar la Base de Datos: '.mysql_error()); 
 
if(trim($_POST["usuario"]) != "" && trim($_POST["password"]) != "") 
{ 
//Necesito que verifique que no hayan caracteres extraños, y que me de el error de Intento de Inyección SQL. 
    $usuario = $_POST["usuario"]; 
    $password = $_POST["password"]; 
    $result = mysql_query('SELECT password, usuario FROM usuarios WHERE usuario=\''.$usuario.'\''); 
    if($row = mysql_fetch_array($result)){ 
        if($row["password"] == $password){ 
            $_SESSION["k_username"] = $row['usuario']; 
            echo 'Has sido logueado correctamente '.$_SESSION['k_username'].' <p>'; 
            echo '<a href="index.php">Index</a></p>'; 
 
  echo'<script>alert("El usuario o contraseña son erroneos.");</script>'; 
  echo'<SCRIPT LANGUAGE="javascript"> 
            location.href = "one.html"; 
            </SCRIPT>'; 
        } 
    }else{ 
          echo'<script>alert("El usuario o contraseña son erroneos.");</script>'; 
  echo'<SCRIPT LANGUAGE="javascript"> 
            location.href = "one.html"; 
            </SCRIPT>'; 
    } 
    mysql_free_result($result); 
}else{ 
     echo'<script>alert("Debe especificar un usuario y password.");</script>'; 
 echo'<SCRIPT LANGUAGE="javascript"> 
            location.href = "one.html"; 
            </SCRIPT>'; 
} 
mysql_close(); 
?>

El que me dice que tengo campos sin rellenar lo tengo hechom lo que me faltan es agregar el del error SQl.

NSD · #9 (**permalink**) 05/10/2012, 19:36

Cita:

Entiendo perfectamente, pero el problema lo tengo cuando lo quiero aplicar a lo que ya tengo, entendes?

si entiendo. porque no lo intentas tu? no es tan dificil, recuerda que eres tu quien debe aprender...(para eso es el foro)

Código PHP:

Ver original<?php 
Session_Start();
Function ValidoSQL($String){
    If(!preg_match("/[^A-Za-z0-9_]/i", $String)){
        $Estado = False;
    } Else {
        $Estado = True;
    }
    Return ($Estado);
}  
 
 
If(!ValidoSQL(trim($_POST['usuario'])) Or !ValidoSQL(trim($_POST['password']))){
    Echo'<Script Type="text/javascript">alert("Error, Se detecto intento de inyeccion SQL.");</Script>'; 
    Echo'<Script Type="text/javascript">location.href = "one.html";</Script>'; 
} Else {
    If(($_POST['usuario'] == '') Or ($_POST['password'] == '')){
        Echo'<Script Type="text/javascript">alert("Debe especificar un usuario y password.");</Script>'; 
        Echo'<Script Type="text/javascript">location.href = "one.html";</Script>'; 
    } Else {
        $User = $_POST["usuario"]; 
        $Pass = $_POST["password"]; 
        Mysql_Connect('localhost','xx','xx') Or Die ('Ha fallado la conexión: '.Mysql_Error()); 
        Mysql_Select_DB('xx') Or Die ('Error al seleccionar la Base de Datos: '.Mysql_Error()); 
        $Resultado = Mysql_Query('SELECT password, usuario FROM usuarios WHERE usuario=\''.$User.'\'');     
        Mysql_Close(); 
        $Datos = Mysql_Fetch_Array($Resultado); 
        Mysql_Free_Result($Resultado); 
        If($Datos["password"] == $Pass){ 
            $_SESSION["k_username"] = $Datos['usuario']; 
            Echo 'Has sido logueado correctamente '.$_SESSION['k_username'].' <p>'; 
            Echo '<a href="index.php">Index</a></p>';
        } Else {
            Echo'<Script Type="text/javascript">alert("Error al identificarse, tus datos son incorrectos.");</Script>'; 
            Echo'<Script Type="text/javascript">location.href = "one.html";</Script>';          
        }           
    }
}
 
?>

Triby · #10 (**permalink**) 05/10/2012, 19:40

Vas a forzar a tus usuarios para que las contraseñas sólo tengan ciertos caracteres permitidos?, creo que eso hará más vulnerable el sitio.

Te recomiendo leer esto: http://www.forosdelweb.com/f18/aport...a-php-1011808/

kasumidie · #11 (**permalink**) 05/10/2012, 19:47

Cita:

Iniciado por NSD

si entiendo. porque no lo intentas tu? no es tan dificil, recuerda que eres tu quien debe aprender...(para eso es el foro)

Código PHP:

Ver original<?php 
Session_Start();
Function ValidoSQL($String){
    If(!preg_match("/[^A-Za-z0-9_]/i", $String)){
        $Estado = False;
    } Else {
        $Estado = True;
    }
    Return ($Estado);
}  
 
 
If(!ValidoSQL(trim($_POST['usuario'])) Or !ValidoSQL(trim($_POST['password']))){
    Echo'<Script Type="text/javascript">alert("Error, Se detecto intento de inyeccion SQL.");</Script>'; 
    Echo'<Script Type="text/javascript">location.href = "one.html";</Script>'; 
} Else {
    If(($_POST['usuario'] == '') Or ($_POST['password'] == '')){
        Echo'<Script Type="text/javascript">alert("Debe especificar un usuario y password.");</Script>'; 
        Echo'<Script Type="text/javascript">location.href = "one.html";</Script>'; 
    } Else {
        $User = $_POST["usuario"]; 
        $Pass = $_POST["password"]; 
        Mysql_Connect('localhost','xx','xx') Or Die ('Ha fallado la conexión: '.Mysql_Error()); 
        Mysql_Select_DB('xx') Or Die ('Error al seleccionar la Base de Datos: '.Mysql_Error()); 
        $Resultado = Mysql_Query('SELECT password, usuario FROM usuarios WHERE usuario=\''.$User.'\'');     
        Mysql_Close(); 
        $Datos = Mysql_Fetch_Array($Resultado); 
        Mysql_Free_Result($Resultado); 
        If($Datos["password"] == $Pass){ 
            $_SESSION["k_username"] = $Datos['usuario']; 
            Echo 'Has sido logueado correctamente '.$_SESSION['k_username'].' <p>'; 
            Echo '<a href="index.php">Index</a></p>';
        } Else {
            Echo'<Script Type="text/javascript">alert("Error al identificarse, tus datos son incorrectos.");</Script>'; 
            Echo'<Script Type="text/javascript">location.href = "one.html";</Script>';          
        }           
    }
}
 
?>

Voy a seguir intentando, el código que me has dejado tira siempre error de SQL, así esten los casilleros en blanco, y tambien cuando pongo un usuario y contraseña válidos, configure la base de datos, user y pass, voy a ver un poquito que puede ser.

NSD · #12 (**permalink**) 05/10/2012, 19:53

Código PHP:

Ver originalVoy a seguir intentando, el código que me has dejado tira siempre error de SQL, así esten los casilleros en blanco, y tambien cuando pongo un usuario y contraseña válidos, configure la base de datos, user y pass, voy a ver un poquito que puede ser.

varifica el estado de las funcion, puede que alla un error en la funcion, el codigo lo tipie rapido asique puedo haberle pifiado en algo revisalo y luego nos comentas que onda.

Cita:

Vas a forzar a tus usuarios para que las contraseñas sólo tengan ciertos caracteres permitidos?, creo que eso hará más vulnerable el sitio.

Te recomiendo leer esto: http://www.forosdelweb.com/f18/aport...a-php-1011808/
__________________

la verdad triby te felicito por ese articulo, lo lei completo hase unos dias y la verdad muy bueno (aprobecho a felicitarte aca porque creo que esta de sobra si lo hago en dicho articulo)

kasumidie · #13 (**permalink**) 06/10/2012, 18:40

Todavia no doy en el clavo. :(

NSD · #14 (**permalink**) 06/10/2012, 18:59

bueno entonces, vamos a analizarlo hasta que ande.

Código PHP:

Ver original$Prove[1]='SoyValido123';
$Prove[2]='"Nolo$%¡?Soy';
$Prove[3]='';
$Prove[4]='%$';
$Prove[5]='345';
If(!ValidoSQL(trim($Prove[1])) Or !ValidoSQL($Prove[1]))){

ejecuta por favor ese codigo 5 veces, haciendo que en cada ocacion el if se aplique a otro elemento del array (en el ejemplo esta listo para probar con el 1, tu cabia el 1 en las dos partes del if por el 2 etc)

y dime en cada una de las 5 pruebas que cartel te arrojo.

(los cambios los haces manualmente)

por ahora no importa el user y el pass reales, quiero saber si la funcion y el script andan bien.

kasumidie · #15 (**permalink**) 06/10/2012, 22:07

1- Error SQL
2- Debe especificar User y pass
3- Error SQL
4- Debe especificar User y pass
5- Error SQL

NSD · #16 (**permalink**) 06/10/2012, 23:22

bien, veamos, en el codigo original (el que te pase antes) de hacer esta pruebita pon esta linea reemplazando la que esta y pruebala haber si anda.

Código PHP:

Ver originalIf(ValidoSQL(trim($_POST['usuario'])) Or ValidoSQL(trim($_POST['password']))){

1- Error SQL -> deberia pasar pero no paso
2- Debe especificar User y pass-> no deberia pasar pero paso
3- Error SQL -> deberia pasar pero no paso
4- Debe especificar User y pass-> no deberia pasar pero paso
5- Error SQL -> deberia pasar pero no paso

eso sugiere que hay que invertir el condicional, si te fijas en la linea que te pase quite las negaciones.

asi que en teoria deberia funcionar...

kasumidie · #17 (**permalink**) 07/10/2012, 13:05

Cita:

Iniciado por NSD

bien, veamos, en el codigo original (el que te pase antes) de hacer esta pruebita pon esta linea reemplazando la que esta y pruebala haber si anda.

Código PHP:

Ver originalIf(ValidoSQL(trim($_POST['usuario'])) Or ValidoSQL(trim($_POST['password']))){

1- Error SQL -> deberia pasar pero no paso
2- Debe especificar User y pass-> no deberia pasar pero paso
3- Error SQL -> deberia pasar pero no paso
4- Debe especificar User y pass-> no deberia pasar pero paso
5- Error SQL -> deberia pasar pero no paso

eso sugiere que hay que invertir el condicional, si te fijas en la linea que te pase quite las negaciones.

asi que en teoria deberia funcionar...

Muchisimas gracias, ahora te pregunto el signo "!" cual es su funcion? Tenes una guia o algo? No sabia lo que realmente significaba, te vuelvo a agradecer, y gracias por hacerme ese ejercicio, es lo mejor para aprender, envez de directamente dar el código. Gracias gracias

PD: yo lo tengo limitado a estos caracteres > '/[^A-Za-z0-9_]/i', donde puedo leer una guia, para armar uno a mi gusto, en el cual pueda añadir algun otro caracter. Busque pero no encontre algo que me explique bien. Saludos

NSD · #18 (**permalink**) 07/10/2012, 16:01

! es un operador logico para negar.... es lo mas basico, equivale a decir:

if(exprecion==false)
if(!exprecion)

if($A==3){}else{sentencias}
if($A!=3){sentencias}

Referencias oficiales (POR FAVOR LEELAS ESTO ES LO BASICO DE LO BASICO)
http://www.php.net/manual/es/languag...rs.logical.php

Cita:

PD: yo lo tengo limitado a estos caracteres > '/[^A-Za-z0-9_]/i', donde puedo leer una guia, para armar uno a mi gusto, en el cual pueda añadir algun otro caracter. Busque pero no encontre algo que me explique bien. Saludos

Busca sobre expreciones regulares aqui hay algunos ejemplos muy comunes:
http://web.ontuts.com/snippets/10-ex...esarrollo-web/

por otro lado:

Cita:

[^A-Za-z0-9_+@&]

los elementos que pongas ahi en la negrita se iran agregando a la lista de permitidos. si quieres permitir un - debes poner \- ya que - es un caracter reservado y sirve para indicar intervalos A-Z letras mayusculas a-z letras minusculas 0-9 nuemros.

espero te sirva saludos

kasumidie · #19 (**permalink**) 07/10/2012, 16:13

Buenisimo, la que no sabia era la del !. Ahí lo lei, saludos y gracias.