[SOLUCIONADO] No puedo asegurar esta query

MrKaiser · #1 (**permalink**) 28/12/2013, 21:29

Buenas,
Les comento que se me hace imposible asegurar el siguiente código, pertenece a un live search. Al colocar el símbolo de porcentaje (%) la query devuelve todos los resultados posibles, osea es inseguro.

Código PHP:

  $q = $_REQUEST['email']; 
    $q = mysqli_real_escape_String($con, $q); 
    $sql = mysqli_query($con, "SELECT id, email FROM web_cert WHERE activa = 0 and email LIKE '%$q%' ORDER BY id LIMIT 0,5"); 
    $i = 0; 
    $num = mysqli_num_rows($sql); 
    if($num) 
    { 
        while($i < $num and $row = mysqli_fetch_assoc($sql)) 
        { 
            $id = $row['id']; 
            $email = $row['email']; 
            echo "<li><a href=./vercertificacion?id=".$id." >".$email."</a></li>"; 
        } 
    } 
    else { echo "<li>No hay resultados</li>"; }

Intenté asegurar la consulta de las siguientes maneras, pero ninguna dio resultado. También intenté usando sprintf pero la consulta se "distorciona", osea en la parte del "LIKE '%$q%'" no funciona el "LIKE %%s%".

Código PHP:

  $q = htmlentities($q, ENT_QUOTES,'UTF-8'); 
    $q = preg_replace("/^[_a-z0-9-]+(\.[_a-z0-9-]+)*@[a-z0-9-]+(\.[a-z0-9-]+)*(\.[a-z]{2,3})$/", " ", $q); 
    $q = stripslashes($q);

enlinea777 · #2 (**permalink**) 28/12/2013, 21:49

y que seria seguro???????????????

solo tienes que limpiar la variable.
echa un vistaso por aqui.
http://www.onsoni.com/2011/09/evitar...codigo-en.html

P.D. hay!! del que diga que es auto promocion o publicidad.

Alexis88 · #3 (**permalink**) 28/12/2013, 22:06

Puedes limpiar los datos que recibes aplicando las expresiones regulares que se muestran en este sitio.

Otra forma, sin expresiones regulares:

Código PHP:

Ver original$dato = mysqli_real_escape_string($conexion, strip_tags(trim($_POST["dato"])));

Para parametrizar la consulta con sprintf, debes hacerlo de esta forma, así evitarás el conflicto con los otros signos de porcentaje:

Código PHP:

Ver original$query = mysqli_query($conexion, sprintf("SELECT * FROM tabla WHERE campo LIKE '%%%s%%'", $dato));

Se escapan los signos de dólar del LIKE, colocándolos de forma doble para evitar el conflicto con el signo de dólar del especificador de tipo.

Obviamente, trabajando con LIKE, vas a obtener todos los resultados similares al dato recibido, si quieres obtener un dato idéntico, utiliza el signo de igualdad.

Saludis

MrKaiser · #4 (**permalink**) 28/12/2013, 22:52

Le llamo seguridad a que solo aparezcan resultados que hayan sido llamados de una manera correcta, no con el signo %
No sé si estoy haciendo algo mal o qué. Nada de lo que dijeron ayudó.
Probando lo único que me funcionó fue la linea

Código PHP:

  $q = preg_replace("/[^A-Za-z0-9]/", "/", $q);

El problema con esta linea es que el buscador está hecho para encontrar emails, y de esta forma no puedo.
Cuando uso la siguiente linea para los emails:

Código PHP:

  $q = preg_replace("/^[_a-z0-9-]+(\.[_a-z0-9-]+)*@[a-z0-9-]+(\.[a-z0-9-]+)*(\.[a-z]{2,3})$/", " ", $q);

La situación vuelve a la misma, mostrando todos los resultados si ingreso el símbolo %.

Alexis88 · #5 (**permalink**) 28/12/2013, 23:01

Estás algo confundido, seguridad, en programación web, es evitar que algún usuario inserte código malicioso, a lo que te refieres es otra cosa. La consulta te va a devolver todos los datos similares que se encuentren en la base de datos con respecto al dato ingresado, porque estás trabajando con coincidencia de patrones.

Con la primera expresión regular, reemplazas con una barra inclinada a todas las letras y números que se encuentren en el contenido de la variable $q. Con la segunda expresión regular, reemplazas con un espacio en blanco a todos los elementos que conforman la expresión dada, dicho de otro modo, si el valor de $q es un email con formato válido, será borrado, no de la base de datos, sino como valor de la variable en cuestión.

Creo que tienes que replantear lo que estás haciendo, porque de esa forma, no está bien.

Saludos

MrKaiser · #6 (**permalink**) 28/12/2013, 23:29

Antes que nada muchas gracias. Hablé de seguridad porque hasta antes de leer el artículo pensaba que al ingresar el simbolo de % permitiría a un atacante ingresar un código malicioso.

Entendí que el símbolo de %, según mi criterio y mi explicación es como decir "cualquiera", siempre saldrán todos los resultados posibles. Aplicando el $q% así podría hacer que solamente busque emails que comiencen con $q y así sucesivamente.

Ahora comprendo que debo utilizar las expresiones regulares extendidas, es decir que en vez de con LIKE deben ser con REGEXP.

Espero de que si me haya equivocado en algo me corrijas. Muchas gracias de nuevo y gracias.

Alexis88 · #7 (**permalink**) 28/12/2013, 23:40

Esto es simple:

Limpias el dato recibido de posible código malicioso, puedes hacerlo con expresiones regulares o usando funciones de PHP, como las siguientes

Código PHP:

Ver original$email = mysqli_real_escape_string($conn, strip_tags($_POST["email"]));

Verificas que el formato del email sea válido

Código PHP:

Ver originalecho preg_match("/^([\w_\.-]+)@([\w\.-]+)\.([a-z\.]{2,6})$/", $email) ? "Correcto" : "Incorrecto";

Por último, realizas la consulta

Código PHP:

Ver original$query = mysqli_query($conn, sprintf("SELECT email FROM tabla WHERE email = '%s'", $email);

Acomodando estas líneas de código, podrías evitar que se haga la consulta si el formato del email no es válido.

Código PHP:

Ver originalif (preg_match("/^([\w_\.-]+)@([\w\.-]+)\.([a-z\.]{2,6})$/", $email)
     $query = mysqli_query($conn, sprintf("SELECT email FROM tabla WHERE email = '%s'", $email);
else
     echo "El email debe tener un formato válido";

Nota que uso la función preg_match en lugar de preg_replace, que es la que venías usando.

Saludos

MrKaiser · #8 (**permalink**) 29/12/2013, 10:09

Como dije anteriormente, la consulta debía ser REGEXP en vez de LIKE. Recordemos que es un cuadro de busqueda y si hago WHERE email = $q no funciona.
Muchas gracias por responder.

Alexis88 · #9 (**permalink**) 29/12/2013, 12:15

¿Y por qué no va a funcionar?, esa es una manera de filtrar los resultados, así como lo puedes hacer con LIKE o con ON. Incluso puedes optimizar dicho filtrado.

Tienes que leer más al respecto para que tengas una idea más clara de esto.

Saludos