Evitar SQL Injection

PYTUFYN · #1 (**permalink**) 26/03/2011, 17:57

Hola a todos.

En este código de consulta a MYSQL cómo podría evitar el SQL Injection?

Código PHP:

  if(isset($_GET['url'])){
$url = $_GET['url'];
database_connect();
$query = "SELECT * from articulos where url = '$url'";
$result = @mysql_query($query);

Es que me comentaron que si alguien entrara en midominio.com/articulo.php?url=blablabla <- desde aquí podrían atacarme. Me gustaría saber cómo evitarlo y aplicar algún filtrado a la variable $url antes de realizar la consulta.

Un saludo.

InKarC · #2 (**permalink**) 26/03/2011, 18:15

Correcto, hay podrian hacer una consulta SQL indeseada (sql Injection)

Para solucionar este problema 100% tienes que usar la funcion de php mysql_real_escape_string

Código PHP:

  if(isset($_GET['url'])){ 
$url = mysql_real_escape_string($_GET['url']); 
database_connect(); 
$query = "SELECT * from articulos where url = '$url'"; 
$result = @mysql_query($query);

PYTUFYN · #3 (**permalink**) 26/03/2011, 18:24

Perfecto InKarC, muchísimas gracias por tu rápida y eficaz respuesta.

PYTUFYN · #4 (**permalink**) 26/03/2011, 18:38

Como apunte:

Código PHP:

  if(isset($_GET['url'])){  
database_connect(); 
$url = mysql_real_escape_string($_GET['url']);  
$query = "SELECT * from articulos where url = '$url'";  
$result = @mysql_query($query);

La conexión a la base de datos la tuve que poner antes, sino me daba mil errores.

InKarC · #5 (**permalink**) 26/03/2011, 18:41

Nop, mysql_real_escape_string es una funcion php y no tiene nada ver con el momento en que haces la conexion.

Saludos.

Triby · #6 (**permalink**) 26/03/2011, 18:54

InKarC, segun el manual de php para mysql_real_escape_string(), SI se requiere una conexion activa, de lo contrario se generara un error tipo E_WARNING y devolverá FALSE.

InKarC · #7 (**permalink**) 26/03/2011, 19:27

Cita:

Iniciado por Triby

InKarC, segun el manual de php para mysql_real_escape_string(), SI se requiere una conexion activa, de lo contrario se generara un error tipo E_WARNING y devolverá FALSE.

Ok que raro, mucho bruto yo. Yo hago eso con objectos y no me percato de estos detalles.

InKarC · #8 (**permalink**) 26/03/2011, 19:29

Aqui una funcion que simula el accionar de mysql_real_escape_string() sin necesitar una conexion activa:

Código PHP:

Ver original<?php 
function mysql_escape_mimic($inp) { 
    if(is_array($inp)) 
        return array_map(__METHOD__, $inp); 
 
    if(!empty($inp) && is_string($inp)) { 
        return str_replace(array('\\', "\0", "\n", "\r", "'", '"', "\x1a"), array('\\\\', '\\0', '\\n', '\\r', "\\'", '\\"', '\\Z'), $inp); 
    } 
 
    return $inp; 
} 
?>

abimaelrc · #9 (**permalink**) 26/03/2011, 19:58

Cuando no se puede usar mysql_real_escape_string, está la función addslashes y addcslashes.

InKarC · #10 (**permalink**) 26/03/2011, 21:40

Cita:

Iniciado por abimaelrc

Cuando no se puede usar mysql_real_escape_string, está la función addslashes y addcslashes.

Falso, addslashes deja abierto huecos de seguridad como se puede apreciar en este articulo http://shiflett.org/blog/2006/jan/ad...-escape-string

abimaelrc · #11 (**permalink**) 26/03/2011, 22:33

Muy buen artículo

, mi intensión no es que se use solamente addslashes y addcslashes, en realidad yo he usado una función que nos enseñó un usuario de este foro, http://www.forosdelweb.com/3497564-post2.html

jpunk · #12 (**permalink**) 26/03/2011, 23:06

Disculpen siguiendo el enlace del manual de php para mysql_real_escape_string(), no acabo de comprender lo de conexión activa.

Alguna explicación rápida amigos ?

Triby · #13 (**permalink**) 26/03/2011, 23:25

jpunk, al decir "conexion activa" se refiere a que antes de usar cualquiera de las funciones mysql_* debes haber establecido una conexion con el servidor usando mysql_connect() o mysql_pconnect() para conexiones persistentes, de las cuales desconozco la utilidad.

jpunk · #14 (**permalink**) 26/03/2011, 23:28

ahh pero no tiene que ver con conexiones persistentes ?

eso de conexiones persistentes estaba leyendo y me parecia algo ya complejo

Triby · #15 (**permalink**) 26/03/2011, 23:30

No, nada que ver con conexiones persistentes, simplemente es un requisito el conectar al servidor MySQL, imagino que no querian meterse en problemas de "tal funcion si requiere estar conectado y tal otra no".

jpunk · #16 (**permalink**) 26/03/2011, 23:35

Gracias Triby por la pronta respuesta, bueno siendo así no tengo problema con lo que estoy realizando.

He vuelto a descansar je je

Tradock · #17 (**permalink**) 27/03/2011, 08:33

Hola,
Soy nuevo en este asunto y tengo una plataforma en php; Mi pregunta, es como corregir el problema de SQL Injection completamente y también como cubrir los huecos de seguridad de php?

Saludos,

Tradock

versinlimites · #18 (**permalink**) 27/03/2011, 10:32

Cita:

Iniciado por Tradock

Hola,
Soy nuevo en este asunto y tengo una plataforma en php; Mi pregunta, es como corregir el problema de SQL Injection completamente y también como cubrir los huecos de seguridad de php?

Saludos,

Tradock

Si lees el post desde arriba, hay bastantes soluciones, tambien hay otras que por muy tontas que parezcan tambien ayudan, como :

- No dar permisos de DROP al usuario que usas para las consultas en PHP, solo darle los permisos que necesita y en las tablas, bases de datos que necesita, como SELECT, INSERT, UPDATE...

Para los huecos de PHP, lo mejor es tener actualizado tu PHP a la version mas estable, y estar actualizado con los nuevos parches que salen..