no logro hacer funcionar mysql_real_escape_string

KevinVG · #1 (**permalink**) 21/02/2012, 15:33

he leido y leido y leido por internet acerca de el tema de evitar injeccion MySQL.
y veo que hay que usar el mysql_real_escape_string y no logro hacerlo no me da la cabeza

pero no entiendo donde tengo que meter esa funcion o en que forma..
aqui dejo un formulario y el codigo php para meter los datos en la base de datos
si alguien es tan amable de darme una idea en que parte del codigo deberia poner la funcion mysql_real_escape_string o en que forma ponerla o algo lo agradeceria mucho.

Código HTML:

Ver original<form method="post" action="insertarenbase.php">
       Nombre:<input type="text" name="nombre">
           e-mail:   <input type="text" name="email">
           País:      <input type="text" name="pais">
</form>

Código PHP:

Ver original<?php
$conexion = mysql_connect("localhost","root","");
$seleccionar_bd = mysql_select_db("pruebas", $conexion);
$nombre = $_POST['nombre'];
$pais = $_POST['pais'];
$email = $_POST['email'];
$insertar = mysql_query("INSERT INTO paraguard (nombre, pais, email) VALUES ('$nombre', '$pais', '$email')");
mysql_close($conexion);
header('Location: index.html');
?>

CesarHC · #2 (**permalink**) 21/02/2012, 15:47

Creo que el manual lo explica claramente y con ver solo el ejemplo.

IEKK · #3 (**permalink**) 21/02/2012, 15:49

Únicamente debes usarlo en una variable y con una conexión abierta.
En el manual hay varios ejemplos de su uso.

Esta es una forma para evitar poner la función en cada variable:
www.php.net/manual/es/function.mysql-real-escape-string.php#97933

Muy muy sencillo. La variable $name pasa por la clase y la devuelve "limpia" con mysql_real_escape_string.

KevinVG · #4 (**permalink**) 21/02/2012, 16:42

la funcion mysql_real_escape_string lo que hace es tomar el contenido que el usuario introdujo por ejemplo en el campo <input type="text" name="nombre"> y "transformarlo" en texto simple antes de guardarse en la base de datos, osea que el servidor no lo tomará como codigo ejecutable??? eso hace? tengo la sensacion de que estoy entendiendo algo mal.

tata009 · #5 (**permalink**) 21/02/2012, 16:45

$variable2 = mysql_real_escape_string($variabledelform);

xpapachox · #6 (**permalink**) 21/02/2012, 16:50

Un ejemplo sencillo seria asi..
Mayormente cuando se hace consulta enviando un parametro

$sql = "select codpro, nompro, prepro from producto where codpro=". mysql_escape_string($codigo);

$resul=mysql_quer($sql);

Pero leyendo un poco me he dado cuenta que esta función pasará hacer obsoleta.

En su reemplazo seria aconsejable usar: mysql_real_escape_string

KevinVG · #7 (**permalink**) 21/02/2012, 16:57

entonses estas dos funciones:

mysql_escape_string($codigo);
mysql_real_escape_string($variabledelform);

las tengo que usar cuando hago una consulta para obtener informacion de una base de datos, yo estaba equibocado, pensaba que la tenia que usar cuando hiba a meter informacion para que ya quede guardada de forma "segura".

entonses.
la forma que estaba usando de meter la informacion en las bases de datos:

Código PHP:

Ver original<?php
$conexion = mysql_connect("localhost","root","");
$seleccionar_bd = mysql_select_db("pruebas", $conexion);
$nombre = $_POST['nombre'];
$pais = $_POST['pais'];
$email = $_POST['email'];
$insertar = mysql_query("INSERT INTO paraguard (nombre, pais, email) VALUES ('$nombre', '$pais', '$email')");
mysql_close($conexion);
header('Location: index.html');
?>

esa forma es segura? al meter informacion no tengo que usar el mysql_real_escape_string() ?
tendré que usar esa funcion al querer consultar informacion para mostrarla en la pagina?

xpapachox · #8 (**permalink**) 21/02/2012, 17:10

Bueno se puede utiliar para ambas cosas.

Pero las inyecciones sql solo atacaran a tus consultas Selects y no a tus INSERTS, UPDATES o DELETES.

Supongamos nos intentan meter una inyeccion de este tipo en la parte de acceso
al sistema(LOGIn)

$_POST['username'] = 'aidan';
$_POST['password'] = "' OR ''='";

-------------------------------------------------
Aca es donde recuperamos el codigo
$user = $_POST['username'] ;
$pass = $_POST['password'] ;

-De este modo no estariamos protejido..

$query = "SELECT * FROM users WHERE user='{$user }' AND password='{$pass }'";
mysql_query($query);

-Pero de este modo si:

$query = "SELECT * FROM users WHERE user='{mysql_real_escape_string($user) }' AND password='{mysql_real_escape_string($pass)}'";
mysql_query($query);

Urdaris_Nox · #9 (**permalink**) 21/02/2012, 17:11

Imaginate una función así:

Código PHP:

  function manejaTexto ($texto) {
return $texto;
}

$miVariableLimpiada = manejaTexto($miVariableFormulario);

Esa función recoge un texto y te lo devuelve.
My_sql_real_escape_string hace lo mismo, pero gestionando el contenido de esa variable para buscar cosas feas y monstruosas y quitarlas. Para hacerlo necesita una conexión a la base de datos, así que cada vez que uses my_sql_real_escape_string hazlo como si fuera mysql_query, es decir, ten una conexión abierta.

Espero que te quede más claro :)

IEKK · #10 (**permalink**) 21/02/2012, 17:22

Cita:

Iniciado por xpapachox

Pero las inyecciones sql solo atacaran a tus consultas Selects y no a tus INSERTS, UPDATES o DELETES.

Eso no es correcto. Una inyección SQL implica alterar la consulta u obtener información (nombre de campos, valores de los mismos y tablas) y vulnerar así una web.
Por norma general se hacen en los Selects por temas de login, pero dependiendo de como se ha programado la página puedes hacer auténticos destrozos.

Ya he visto en alguna que otra página deletes donde se les puede pasar el id por GET sin validar nada y burradas similares.
Una inyección se puede hacer a cualquier consulta.

Eso del lado del servidor pq ya ni hablemos de las vulnerabilidades XSS.

Cualquier usuario que se preocupe por la seguridad de su web +10

KevinVG · #11 (**permalink**) 21/02/2012, 19:13

gracias :D
puse este codigo y me funciona bien se guardan los datos en la tabla de datos, pero para corroborar que este usando correctamente la funcion, me podrian decir si está bien como la estoy usando la forma de escapar a string?

Código PHP:

Ver original<?php
$conexion = mysql_connect("localhost","root","");
$seleccionar_bd = mysql_select_db("pruebas2012", $conexion);
$nombre = $_POST['nombre'];
$pais = $_POST['pais'];
$email = $_POST['email'];
$insertar = mysql_query("INSERT INTO paramega (nombre, pais, email) 
VALUES ({mysql_real_escape_string('$nombre')}, 
{mysql_real_escape_string('$pais')}, {mysql_real_escape_string('$email')} )");
 
mysql_close($conexion);
header('Location: index.html');
?>

tengo una dudita tengo que poner la variable $pais entre comillas? '$pais'
ejemplo:
{mysql_real_escape_string('$pais')}
o sin comillas:
{mysql_real_escape_string($pais)}
???

por cierto, muchas gracias a todos :D son re amables