Este codigo evita sql injection?

cslbcn · #1 (**permalink**) 27/01/2012, 14:23

Hola a todos.

Quería preguntaros una duda que me ha surgido.
He estado probando y no he podido loguearme usando como contraseña tipicos ataques estilo 'or '1'='1

El código es el siguiente:
NOTA:
$password es una cadena codificada en MD5.
$passwordNoMD5 es una cadena tal cual la recibo del usuario, sin comprobaciones de control ni nada.

Código PHP:

Ver originalCopiar$qry = "SELECT password FROM clients WHERE username='$username' AND password='$password' OR password='$passwordNoMD5'";
if ($sql = mysql_query($qry)){
    $client = mysql_fetch_assoc($sql);
    if ($client['password'] == $password || $client['password'] == $passwordNoMD5){
        return true;                    
    }else
        return false;
    }

Existe vulneración alguna?

Gracias de antenamo.

pateketrueke · #2 (**permalink**) 27/01/2012, 14:25

En tu código no se ve problema, aparentemente.

Todo radica en la forma en que defines las variables que usas en la consulta, como no podemos ver que haces no se puede decir más.

cslbcn · #3 (**permalink**) 27/01/2012, 14:29

Código PHP:

Ver originalCopiarPongo el codigo completo:
 
public function login($username,$password,$passwordNoMD5){
               
    $qry = "SELECT password FROM clients WHERE username='$username' AND password='$password' OR password='$passwordNoMD5'";
    if ($sql = mysql_query($qry)){
        $client = mysql_fetch_assoc($sql);
        if ($client['password'] == $password || $client['password'] == $passwordNoMD5){
            return true;                    
        }else
            return false;
}   
 
 
login($username,md5($password),$password);

pateketrueke · #4 (**permalink**) 27/01/2012, 14:31

A eso no me refiero, yo hablo de la manera en que defines tus variables antes de pasarlas a tu función.

Código PHP:

  $usuario = ???;

cslbcn · #5 (**permalink**) 27/01/2012, 14:33

$username es una cuenta de correo, por ejemplo:

$username = 'pepito@forosdelweb.com';
$password = '4234u32niu4n239432dv3';
$passwordNoMD5 = (lo que escriba el usuario);

cslbcn · #6 (**permalink**) 27/01/2012, 14:34

$username si que pasa por un control para asegurarme que lo que me envía es una cuenta de correo con el formato ###@####.###

pateketrueke · #7 (**permalink**) 27/01/2012, 14:35

¿Esa es la forma real en la que asignas los valores?

cslbcn · #8 (**permalink**) 27/01/2012, 14:38

Con real te refieres a que si las variables se llenan de ese modo?

En la realidad absoluta, tendría que poner el form con el action a un .php de validación.
Después $username pasa por un control de datos y si cumple con los requisitos, lanzo la peticion
login($username,md5($password),$password);

No pondré todos esos pasos porque el kit de la cuestión es si la consulta no dará ningún error o si existe algún agujero de seguridad

pateketrueke · #9 (**permalink**) 27/01/2012, 14:41

Bueno, con "real" efectivamente me refiero a la forma real en que ejecutarás dicho script.

Si los datos provienen de un formulario debes validar y escapar todo valor, como regla general, jamás confíes en el usuario.

Te sugiero que busques temas similares en el foro, hay bastantes.

cslbcn · #10 (**permalink**) 27/01/2012, 14:48

Nunca me fio del usuario.

La variable $username la tengo bien controlado, el usuario no puede colar nada extraño.
La variable $password se convierte en md5, con lo que no hay forma de que se cuele nada.

La duda era en la variable $passwordNoMD5, es el único punto que me "preocupa".

pateketrueke · #11 (**permalink**) 27/01/2012, 14:49

Pues entonces lo único que estás olvidando es escapar dicha variable.

thealfred · #12 (**permalink**) 27/01/2012, 14:54

Bueno, yo veo problemas al no limpiar las variables en la consulta porque realmente no sabes los valores que le van a asignar a tus variables, yo siempre limpio mis variables utilizando sprintf el cual me devuelve una cadena formateada de acuerdo al tipo de dato que le estoy especificando por ejemplo si pongo %d estoy pidiendo que me devuelva un entero, si pongo %s estoy pidiendo que me devuelva una cadena, y adicionalmente uso la función mysql_real_escape_string() la cual coloca barras invertidas a los caracteres especiales para que no los tome en cuenta como parte de la consulta por ejemplo el apostrofe '.

Ejemplo:

Código PHP:

Ver originalCopiar$strSql=sprintf("DELETE FROM clientes WHERE idcli='%s';",
                mysql_real_escape_string($id));

webankenovi · #13 (**permalink**) 27/01/2012, 15:27

has dicho antes:$passwordNoMD5 es una cadena tal cual la recibo del usuario, sin comprobaciones de control ni nada.
Nunca me fio del usuario.

La variable $username la tengo bien controlado, el usuario no puede colar nada extraño.
La variable $password se convierte en md5, con lo que no hay forma de que se cuele nada.

La duda era en la variable $passwordNoMD5, es el único punto que me "preocupa".

pues inserta en tu formulario en el campo donde escriben tus usuarios digo y prueba haber que pasa

osea que vallas al formulario desde tu web y en el campo donde escriben los usuarios escribes lo que te voy a decir

<?php header("location:http://www.google.com")'; ?>

y entra en una pagina donde llames a la variable
$passwordNoMD5 de ese usuario para ver si se escapo o no

veras lo que pasa

Ribon · #14 (**permalink**) 27/01/2012, 15:36

La pregunta es como inicializas las variables usuario y password.
lo haces así?

Código PHP:

Ver originalCopiar$usuario = $_POST['usuario'];
$password = POST['password'];

o

Código PHP:

Ver originalCopiar$usuario = mysql_real_escape_string($_POST['usuario']);
$password = mysql_real_escape_string($_POST['password']);

o de que manera lo haces tu

saludos.

cslbcn · #15 (**permalink**) 30/01/2012, 03:54

Cita:

Iniciado por webankenovi

pues inserta en tu formulario en el campo donde escriben tus usuarios digo y prueba haber que pasa

osea que vallas al formulario desde tu web y en el campo donde escriben los usuarios escribes lo que te voy a decir

<?php header("location:http://www.google.com")'; ?>

y entra en una pagina donde llames a la variable
$passwordNoMD5 de ese usuario para ver si se escapo o no

veras lo que pasa

No sé muy bien a que te refieres pero he puesto <?php header("location:http://www.google.com")'; ?> en el campo de username y en el campo password del formulario y no pasa nada...

Si escribo eso en el campo username, me dice que el username no es valido. Si lo escribo en el password, me dice que el usuario no existe xq no coincide esa contraseña con la contraseña de la bbdd.. Esos errores son los que yo he puesto.

cslbcn · #16 (**permalink**) 30/01/2012, 03:57

Cita:

Iniciado por Ribon

La pregunta es como inicializas las variables usuario y password.
lo haces así?

Código PHP:

Ver originalCopiar$usuario = $_POST['usuario'];
$password = POST['password'];

o

Código PHP:

Ver originalCopiar$usuario = mysql_real_escape_string($_POST['usuario']);
$password = mysql_real_escape_string($_POST['password']);

o de que manera lo haces tu

saludos.

Así lo tengo:

Código PHP:

Ver originalCopiar$username = $_POST["login_username"];
       $password = $_POST["login_password"];
                    
    //Comprobar si el formato del username es válido: ####@####.##  
    if(!$openClassIntegrity->mailControl($username)) $errorsLogin = "Please enter a valid email";
        //Comprobar si hay contenido dentro de las variables
    if($password == "") $errorsLogin = "Please enter password";
    if($username == "") $errorsLogin = "Please enter your email";           
                    
    //Comprobar si existe el usuario si no hay errores
    if($errorsLogin == ""){             
        if($openClassDatabase->existClient($username,sha1($password),$password)){
            header("Location: profile.php");                            
        }else{
            $errorsLogin = $traduccion[$idioma]["Wrong username or password"];
        }
    }

jercer · #17 (**permalink**) 30/01/2012, 05:39

Como dices al principio tu mismo, si pones algo como:
' or '1'='1

Debería convertir tu consulta en:

$qry = "SELECT password FROM clients WHERE username='$username' AND password='$password' OR password='' or '1'='1'";

Por lo que debería entrar. Si no entra, será porque tenga las magic quotes de tu servidor activas, algo que no debería suceder:

http://php.net/manual/es/security.magicquotes.php

Para asegurarte, pasa ese valor en tu formulario y pinta un echo de la consulta y mira que saca y porque.

cslbcn · #18 (**permalink**) 30/01/2012, 06:17

Si no entra creo que debe ser por eso:
if ($client['password'] == $password || $client['password'] == $passwordNoMD5){
return true;

En en caso que alguna contraseña de cualquier usuario coincidiera, sería un problema.
Pero sería muy complicado, no? Estando codificado en sha1

Edito: ahora si que me accede al usuario usando como contraseña:
' or '1'='1 Usando mysql_real_escape_string se soluciona el problema

jercer · #19 (**permalink**) 30/01/2012, 06:27

Perdón, no me fije en esa parte, pues entonces no, no entraría, otra cosa es que hagas "lo mismo" 2 veces tanto en la SQL, como en PHP (preguntas si password = password en sus 2 variantes).

Entonces sólo te quedaría saber si la función "mailControl", no se traga sqlInjection, en plan "usuario@usuario.com' or '1'='1' --"

cslbcn · #20 (**permalink**) 30/01/2012, 06:34

la funcion que controla el formato del email no se traga el sql injection, está bien hecha.
también puedo aplicar una capa intermedia que revise si la contraseña enviada sin codificar tenga el formato esperado, que es un alfanumerico.

if(ctype_alnum($passwordNoMD5)) return true;

jercer · #21 (**permalink**) 30/01/2012, 06:55

Pues entonces a mi al menos me parece segura.

Otra cosa es que me parezca demasiado rodeo para no utlizar, por ejemplo mysqli_real_escape_string

cslbcn · #22 (**permalink**) 30/01/2012, 07:05

mysql_real_escape_string lo utilizaré, pero como proteccion adicional, el ctype_alnum

jercer · #23 (**permalink**) 30/01/2012, 07:14

Mmm mucha seguridad no ...

De todas formas ahora se me acaba de ocurrir que te podrían hacer algo como:

'; INSERT INTO clients (username, password) VALUES ('ppp@ppp.com', 'ppp')--

O bien:

'; UPDATE clients SET password='ppp'--

Edito:
Perdón la verdad es que no lei bién los otros Posts y me he ido por las ramas.
Efectivamente, como te dijo Ribon, solucionas, cualquier intento de SQL Injection (mysql_real_escape_string)

webankenovi · #24 (**permalink**) 30/01/2012, 12:36

Cita:

Iniciado por cslbcn

No sé muy bien a que te refieres pero he puesto <?php header("location:http://www.google.com")'; ?> en el campo de username y en el campo password del formulario y no pasa nada...

Si escribo eso en el campo username, me dice que el username no es valido. Si lo escribo en el password, me dice que el usuario no existe xq no coincide esa contraseña con la contraseña de la bbdd.. Esos errores son los que yo he puesto.

decia en un campo x ejemplo de comentarios o asi dnde lo que escriban se muestre na mas

yo usaria nada de md5 es mas sha1 con clave mas strip_tags para retirar etiquetas php y html del string

Código PHP:

Ver originalCopiar$username = strip_tags(strtolower(trim($_POST['username'])));
$password = sha1('claveloquekieras',strip_tags(trim($_POST['password'])))
 
//y en la consulta añadiria stripslashes o addlashes
 
    sprintf("SELECT FROM clientes WHERE username='%s'",
                    mysql_real_escape_string(stripslashes($username)));

y al guardarla en la bd lo mismo para que coincidan