peligro de SQL inyection?

xcorpyon · #1 (**permalink**) 15/11/2004, 10:03

Quería comentar un poco una duda que tengo sobre ese gran 'miedo' de los webmasters al SQL INYECTION en cuestiones de seguridad de un sitio web.

Primero decir que he estado hojeando algún que otro texto sobre este tema y me entró el 'panico' xDD y me puse a hacer algunos ejemplos con PHP y MySQL...

pero mi sorpresa fue cuando vi que al recibir un campo de texto pasado por un formulario por la variable global $_POST viene ya escapada, es decir, con los caracteres de escape correspondientes y que sirven para detener un posible 'ataque de un hacker', para detener algún código maligno que se sirva del peligroso apóstrofe ('), las comillas (") o el backslash (\) al ejecutar una consulta SQL.

Por ello, qué peligros hay entonces con el mítico password ' or ''='' ?

Es que acaso estoy con una versión de PHP, o de Apache... que subsane la mayoría de estos posibles fallos de seguridad...? es que las versiones antiguas de PHP eran más dificiles de programas en cuanto a seguridad de los sitios web?

Hasta luego, y gracias.

jpinedo · #2 (**permalink**) 15/11/2004, 11:26

Lee en el manual sobre la directiva magic_quotes_gpc
http://www.php.net/manual/es/ref.inf...gic-quotes-gpc

Cita:

Iniciado por manual php

(...)Cuando magic_quotes se encuentra activo, todos los caracteres ' (comilla-simple), " (comilla doble), \ (barra invertida) y NULs son escapados(...)

Saludos

Cluster · #3 (**permalink**) 15/11/2004, 12:50

Además de lo que comenta jpinedo .. hay que ver también con que BD se trabaja ..

Por ejemplo .. Mysql desde sus funciones de PHP mysql_query() .. sólo ejecuta una instrucción SQL completa por ejecución de esa función .. así que por ejemplo tampoco se pueden hacer en Mysql (al menos) algo tipo:

SELECT * FROM tabla WHERE campo=condicion ; otras instrucciones

Notese el ; que es el separador de instrucciones ... Pero, .. en MS SQL Server .. parece que no es así al igual que otros Motores de BD.

Ante la duda .. por lo menos para Mysql se puede usar la función:
mysql_escape_string() que hace lo mismo que addslashes() si fuese que magic_quote_gpc() estubiese a OFF (cosa que también se puede detectar).

Un saludo,

javifo · #4 (**permalink**) 19/09/2005, 12:21

Hola:

Al hilo de este tema, dado que me preocupa, leí que una forma de fastidiar cuando la página tiene un buscador, es introducir en él <script>alert()</script>
Si sale la alerta, parece ser que el buscador no está protegido y se puede atacar la BD.

No sé hasta que punto esto es cierto y su peligrosidad. Por si acaso, en mi buscador exijo con eregi que los términos de búsqueda empiecen por letras o números.

Lo que no sé es si esto es suficiente protección.

Si sabéis algo, os agradeceré lo comentéis.

Saludos.

jpinedo · #5 (**permalink**) 19/09/2005, 12:35

Hola javifo....
Para encontrar mucha información al respecto, busca en google por "ataques XSS".

Saludos

FuLaNo_ · #6 (**permalink**) 19/09/2005, 12:52

Mucho de todo esto lo puedes arreglar simplemente haciendo un reemplazo de < por & lt; y > por & gt;...

javifo · #7 (**permalink**) 19/09/2005, 13:12

Gracias a los dos por vuestra respuesta. Miraré lo que me decís.

Saludos