no funciona codigo anti injecction sql

vegas · #1 (**permalink**) 04/11/2015, 18:30

hola amigos, tengo un programa en php en mi web y cuando le pongo este codigo

Código PHP:

  if(isset($_POST['login']) and isset($_POST['pass']) ) 
{ 
    $login=mysql_real_escape_string($_POST['login']); 
    $pass=mysql_real_escape_string($_POST['pass']);

para que no funcione el famoso 'or''='

pues no entra en la web.

si no le pongo nada y lo dejo como

Código PHP:

  if(isset($_POST['login']) and isset($_POST['pass']) ) 
{ 
    $login=$_POST['login']; 
    $pass=$_POST['pass'];

entra bien en la web pero funciona la injeccion sql.

¿alguien sabe por que pasa esto y como solucionarlo.

muchas gracias amigos.

AlejandraLara · #2 (**permalink**) 04/11/2015, 19:50

No uses mysql, usa mysqli.

adrirs11 · #3 (**permalink**) 05/11/2015, 02:47

Este código te puede ser útil:

Código PHP:

Ver originalif (strpos($usr,'=') == true or strpos($usr,'<') == true or strpos($usr,'>') == true or strpos($usr,'"') == true or strpos($usr,';') == true or strpos($usr,"'") == true) {
       echo "<script>window.location='Logout.php'</script>";
} else if (strpos($pass,'=') == true or strpos($pass,'<') == true or strpos($pass,'>') == true or strpos($pass,'"') == true or strpos($pass,';') == true or strpos($usr,"'") == true) {
       echo "<script>window.location='Logout.php'</script>";
} else{
       echo "<script>window.location='Home.php'</script>";
}

Fyodorovich · #4 (**permalink**) 05/11/2015, 05:16

mysql_real_escape_string ( o mysqli ) no es suficiente para filtrar inyecciones SQL

Utiliza todas las herramientas que tengas disponibles:

strip_tags
stripslashes

baldaweb · #5 (**permalink**) 05/11/2015, 05:22

Otra posible solución

Código PHP:

Ver original$login_escapado = mysql_real_escape_string($login);
$login_para_consulta= str_replace (["< ",">","[","]","*","^"], "" , $login_escapado);

vegas · #6 (**permalink**) 05/11/2015, 07:20

Muchas gracias a todos por las respuestas. han sido muy instructivas. esta misma tarde me pongo ha hacer pruebas. Ire comentando todo.

voy a hechar un vistazo tambien a
strip_tags
stripslashes
ya que no las conocia.

un saludo amigos.

vegas · #7 (**permalink**) 05/11/2015, 14:59

bueno amigos gracias por las respuestas tan buena sque me habeis dado.

voy a poner:

$login=mysql_real_escape_string
strip_tags
stripslashes

¿hay alguna más que deba tener en cuenta?

muchiiiisiiiimas gracias.

Alexis88 · #8 (**permalink**) 05/11/2015, 15:13

Échale un vistazo a esto. Y busca más sobre prevención de inyecciones SQL; hay muchas soluciones.

Un saludo

vegas · #9 (**permalink**) 05/11/2015, 15:19

gracias alexis voy a mirar. ya tengo entretenimiento para mañana.

vegas · #10 (**permalink**) 09/11/2015, 08:40

no me funciona los codigos para restringir injecciones sql.

he probado con-.

Código PHP:

  $login = mysql_real_escape_string($_POST['login']); 
        $pass = mysql_real_escape_string($_POST['pass']);

asi es como tengo mi codigo-.

Código PHP:

  <?php 
 @session_start(); 
 
 
 
 
$nuevo=0; 
 
if(isset($_POST['login']) and isset($_POST['pass']) ) 
{ 
    $login=$_POST['login']; 
    $pass=$_POST['pass']; 
 
    $login = mysql_real_escape_string($_POST['login']); 
        $pass = mysql_real_escape_string($_POST['pass']); 
     
 
} 
 
 
elseif(isset($_SESSION['login']) and isset($_SESSION['pass'])) 
{ 
    $login=$_SESSION['login']; 
    $pass=$_SESSION['pass']; 
} 
 
else 
{      
?> 
<?php 
 
    die(); 
 
} 
 
$link=mysqli_connect('lxxxxx','xxxxx','xxxxx','xxxxx') or die(mysqli_error()); 
 
 
$consulta="select * from usuarios 
where login='$login' and pass='$pass'"; 
 
 
 $resultado=mysqli_query($link,$consulta); 
  
  
    if ($row=mysqli_fetch_array($resultado)) 
    { 
        $login=$row ['login']; 
        $tipo_usuario=$row ['tipo_usuario']; 
         
         
        //creo las nuevas variables de mi sesion 
        $_SESSION ['login']=$login; 
        $_SESSION ['pass']=$pass; 
        $_SESSION ['tipo_usuario']=$tipo_usuario; 
         
         
     
    } 
     
    else  
    { 
die (); 
    } 
     
     
    ?>

creo que es por que hay algo mal en mi codigo pero la realidad es que no funciona.

a ver si me pueden ayudar. muchas gracias.

vegas · #11 (**permalink**) 09/11/2015, 09:00

esto si me esta funcionando

Código PHP:

  $login=$_POST['login'];
    $pass=$_POST['pass'];
     $login = addslashes($login);
    $pass = addslashes($pass);

pero por que no me funciona esto

Código PHP:

      $login=$_POST['login'];
    $pass=$_POST['pass'];
    
$login = mysql_real_escape_string(($_POST['login']));
$pass = mysql_real_escape_string(($_POST['pass']));

lambetdelta · #12 (**permalink**) 09/11/2015, 12:54

amigo me conseguí una función de un blog que yo mismo he probado y la verda esta muy bien y no solo preve ataques injección sql si no de otro tipo aun así te recomiendo el uso de consultas preparadas para mayor seguridad solo cuidado con los select

Cita:

function anti_xss($form){//limpiar formularios recibidos
foreach ($form as &$valor):
$valor= strip_tags($valor);
// General
$valor=str_replace("<","",$valor);
$valor=str_replace(">","",$valor);
$valor=str_replace("{","",$valor);
$valor=str_replace("}","",$valor);
$valor=str_replace("[","",$valor);
$valor=str_replace("]","",$valor);
$valor=str_replace("(","",$valor);
$valor=str_replace(")","",$valor);
$valor=str_replace("/","",$valor);
$valor=str_replace("\\","",$valor);

// PHP

$valor= str_replace("function" , "" , $valor);
$valor= str_replace("php" , "" , $valor);
$valor= str_replace("echo" , "" , $valor);
$valor= str_replace("print" , "" , $valor);
$valor= str_replace("return" , "" , $valor);

// HTML

$valor= str_replace("html" , "" , $valor);
$valor= str_replace("body" , "" , $valor);
$valor= str_replace("head" , "" , $valor);

// JS

$valor= str_replace("script" , "" , $valor);

// Ajax y Otros

$valor= str_replace("xml" , "" , $valor);
$valor= str_replace("version" , "" , $valor);
$valor= str_replace("encoding" , "" , $valor);

// CSS

$valor= str_replace("style" , "" , $valor);
endforeach;
unset($valor);
return $form;
}

Posdata: Me gustaría citar el dueño de esta función pero nunca anote la url seguro que con una buena búsqueda das con el.

vegas · #13 (**permalink**) 09/11/2015, 16:50

muchas gracias amigo por ese codigo, tiene muy buena pinta. yo esta tarde le puse este otro que comparto con vosotros. funciona muy bien, manda un mensaje y deniega el acceso si detecta caracteres tipo ''or'=.........

yo lo puse en un archivo php aparte y luego en elel archivo conexion puse un require_once

aqui va el codigo:

Código PHP:

  <?php 
 
  $block_list = array("&","%","'","--",";","\""); foreach($_POST as $login) { foreach($block_list as $bloc_list_2) { if(substr_count(strtolower($login), strtolower($bloc_list_2)) > 0) { 
  die ("<script>alert('ALGUNOS CARACTERES INVALIDOS FUERON DETECTADOS. TU IP SERA GUARDADA POR SEGURIDAD!' ); 
 
  history.go(-1);</script>"); } } } foreach($_GET as $login) {   foreach($block_list as $bloc_list_2) { if(substr_count(strtolower($valor), strtolower($bloc_list_2)) > 0) { 
  die ("<script>alert('ALGUNOS CARACTERES INVALIDOS FUERON DETECTADOS. TU IP SERA GUARDADA POR SEGURIDAD!'); 
  history.go(-1);</script>"); } } } foreach($_COOKIE as $login) {   foreach($block_list as $bloc_list_2) { if(substr_count(strtolower($valor), strtolower($bloc_list_2)) > 0) { 
  die ("<script>alert('ALGUNOS CARACTERES INVALIDOS FUERON DETECTADOS. TU IP SERA GUARDADA POR SEGURIDAD!'); 
  history.go(-1);</script>"); } } } 
   
  $block_list = array("&","%","'","--",";","\""); foreach($_POST as $pass) { foreach($block_list as $bloc_list_2) { if(substr_count(strtolower($pass), strtolower($bloc_list_2)) > 0) { 
  die ("<script>alert('ALGUNOS CARACTERES INVALIDOS FUERON DETECTADOS. TU IP SERA GUARDADA POR SEGURIDAD!'); 
  history.go(-1);</script>"); } } } foreach($_GET as $pass) {   foreach($block_list as $bloc_list_2) { if(substr_count(strtolower($valor), strtolower($bloc_list_2)) > 0) { 
  die ("<script>alert('ALGUNOS CARACTERES INVALIDOS FUERON DETECTADOS. TU IP SERA GUARDADA POR SEGURIDAD!'); 
  history.go(-1); </script>"); } } } foreach($_COOKIE as $pass) {   foreach($block_list as $bloc_list_2) { if(substr_count(strtolower($valor), strtolower($bloc_list_2)) > 0) { 
  die ("<script>alert('ALGUNOS CARACTERES INVALIDOS FUERON DETECTADOS. TU IP SERA GUARDADA POR SEGURIDAD!'); 
  history.go(-1);</script>"); } } } 
   
 
  ?>

lo que estoy intentando ahora es que si alguien pone codigo malicioso detecte la ip, etc... pero al ser un script el codigo anterior, cuando le doy a aceptar en el mensaje que sale del script me vuelve a la pagina login. asi que no se como voy a hacer para mostrar que he capturado la ip del usuario.

pero como te digo funciona muy bien.

de todas formas en la pagina de conexion tambien le puse este codigo por si acaso

Código PHP:

  $login=addslashes($_POST['login']); 
    $pass=addslashes($_POST['pass']);

yo creo que con lo que le he puesto y con el codigo que has puesto tu, hay mas que suficiente para los usuarios malintencionados nobeles.

un saludo y muchas gracias.

comentare cuando ponga tu codigo para decir como va.

un saludo y como dije, muuuuchaaaaassss graaaciiias por la ayuda.

vegas · #14 (**permalink**) 09/11/2015, 17:03

lambetdelta cuando pongo tu codigo en mi pagina, se me queda en blanco, no me carga nada.

¿que tengo que poner en $form?

creo que es ahi donde no le estoy poniendo nada y creo que es por eso que no carga.

lo he puesto asi

Código PHP:

  if(isset($_POST['login']) and isset($_POST['pass']) ) 
{ 
 
    $login=$_POST['login']; 
    $pass=$_POST['pass']; 
     
    function anti_xss($form){//limpiar formularios recibidos  
foreach ($form as &$login): 
$login= strip_tags($login); 
// General  
$login=str_replace("<","",$login);  
$login=str_replace(">","",$login);  
$login=str_replace("{","",$login);  
$login=str_replace("}","",$login);  
$login=str_replace("[","",$login);  
$login=str_replace("]","",$login);  
$login=str_replace("(","",$login);  
$login=str_replace(")","",$login);  
$login=str_replace("/","",$login);  
$login=str_replace("\\","",$login);  
 
// PHP  
 
$login= str_replace("function" , "" , $login);  
$login= str_replace("php" , "" , $login);  
$login= str_replace("echo" , "" , $login);  
$login= str_replace("print" , "" , $login);  
$login= str_replace("return" , "" , $login);  
 
// HTML  
 
$login= str_replace("html" , "" , $login);  
$login= str_replace("body" , "" , $login);  
$login= str_replace("head" , "" , $login);  
 
// JS  
 
$login= str_replace("script" , "" , $login);  
 
// Ajax y Otros  
 
$login= str_replace("xml" , "" , $login);  
$login= str_replace("version" , "" , $login);  
$login= str_replace("encoding" , "" , $login);  
 
// CSS  
 
$login= str_replace("style" , "" , $login);  
endforeach; 
unset($login); 
return $form; 
} 
 
 
 
function anti_xss($pass){//limpiar formularios recibidos  
foreach ($form as &$pass): 
$login= strip_tags($pass); 
// General  
$pass=str_replace("<","",$pass);  
$pass=str_replace(">","",$pass);  
$pass=str_replace("{","",$pass);  
$pass=str_replace("}","",$pass);  
$pass=str_replace("[","",$pass);  
$pass=str_replace("]","",$pass);  
$pass=str_replace("(","",$pass);  
$pass=str_replace(")","",$pass);  
$pass=str_replace("/","",$pass);  
$pass=str_replace("\\","",$pass);  
 
// PHP  
 
$pass= str_replace("function" , "" , $pass);  
$pass= str_replace("php" , "" , $pass);  
$pass= str_replace("echo" , "" , $pass);  
$pass= str_replace("print" , "" , $pass);  
$pass= str_replace("return" , "" , $pass);  
 
// HTML  
 
$pass= str_replace("html" , "" , $pass);  
$pass= str_replace("body" , "" , $pass);  
$pass= str_replace("head" , "" , $pass);  
 
// JS  
 
$pass= str_replace("script" , "" , $pass);  
 
// Ajax y Otros  
 
$pass= str_replace("xml" , "" , $pass);  
$pass= str_replace("version" , "" , $pass);  
$pass= str_replace("encoding" , "" , $pass);  
 
// CSS  
 
$pass= str_replace("style" , "" , $pass);  
endforeach; 
unset($pass); 
return $form; 
} 
     
    $login=addslashes($_POST['login']); 
    $pass=addslashes($_POST['pass']);

rbczgz · #15 (**permalink**) 10/11/2015, 01:42

Hola vegas,

Cita:

Iniciado por vegas

lo que estoy intentando ahora es que si alguien pone codigo malicioso detecte la ip, etc... pero al ser un script el codigo anterior, cuando le doy a aceptar en el mensaje que sale del script me vuelve a la pagina login. asi que no se como voy a hacer para mostrar que he capturado la ip del usuario.

Yo lo que haría es guardarla desde el principio, después, si se detecta algún código malicioso, la añades además a una "lista negra".

Espero que te sirva.