Me lo podeis explicar??

bocasecaman · #1 (**permalink**) 27/11/2008, 14:57

Hola a todos, buscando en este foro (antes de postear a lo loco, mas de uno me lo agradecera) sobre la seguridad para evitar las temidas inyecciones sql, me tope con este codigo:

usa esta funcion para todas las variables externas $_GET $_POST $_COOKIE etc...

Código PHP:

   
Código PHP: 
 
if (!function_exists("GetSQLValueString")) {  
function GetSQLValueString($theValue, $theType, $theDefinedValue = "", $theNotDefinedValue = "")   
{  
  $theValue = get_magic_quotes_gpc() ? stripslashes($theValue) : $theValue;  
 
  $theValue = function_exists("mysql_real_escape_string") ? mysql_real_escape_string($theValue) : mysql_escape_string($theValue);  
 
  switch ($theType) {  
    case "text":  
      $theValue = ($theValue != "") ? "'" . $theValue . "'" : "NULL";  
      break;      
    case "long":  
    case "int":  
      $theValue = ($theValue != "") ? intval($theValue) : "NULL";  
      break;  
    case "double":  
      $theValue = ($theValue != "") ? "'" . doubleval($theValue) . "'" : "NULL";  
      break;  
    case "date":  
      $theValue = ($theValue != "") ? "'" . $theValue . "'" : "NULL";  
      break;  
    case "defined":  
      $theValue = ($theValue != "") ? $theDefinedValue : $theNotDefinedValue;  
      break;  
  }  
  return $theValue;  
}  
}

ejemplo de llamando a la funcion:

Código PHP:

  $variable=GetSQLValueString($_GET['Id'],"int");

Mi pregunta es: ¿alquien me lo puede explicar como funciona y que debo modificar? Supuestamente sirve para eliminar las comillas y codigo malicioso que intenta hacerse pasar por usuario.
Gracias por lo menos por leer ;)

pateketrueke · #2 (**permalink**) 27/11/2008, 15:08

si te fijas ahí se usa alguna de estas dos funciones

mysql_real_escape_string

mysql_escape_string

lo mejor, es que leas el manual de PHP al respecto

también, si deseas saber mas de SQLInjection ... busca, hay bastante información en la red...

suerte!

bocasecaman · #3 (**permalink**) 27/11/2008, 15:11

Gracias pateketrueke, no esperaba que me lo dieras machacado pero tampoco asi. de todas maneras gracias por contestar

bocasecaman · #4 (**permalink**) 27/11/2008, 15:16

otra cosilla, su funcionamiento es que en cada una que pone $thevalue, tengo que poner una a una las variables que llevo a las consultas sql?? Ya digo que de este codigo no tengo ni idea

pateketrueke · #5 (**permalink**) 27/11/2008, 15:26

si, es algo así ....

cada variable que necesites la puedes pasar por aquí, si es a lo que te refieres...

Carxl · #6 (**permalink**) 27/11/2008, 15:53

Y si pruebas prepared statements??

Un link (en español)
Otro link (en inglés)

Creo que es mejor dejárselo al mismo motor

Saludos

srsombrero · #7 (**permalink**) 27/11/2008, 16:29

Código PHP:

  $theValue = get_magic_quotes_gpc() ? stripslashes($theValue) : $theValue;

Aca esta utilizando el operador ternario.
Si esta definida la directiva get_magic_quotes_gpc() en el php.ini, le quita los slashes o el "escape de las comillas simples" a el valor para consultar que esta en la variable $theValue, lo que hace magic_quotes_gpc es escapar automaticamente a todas las variables que pases con $_GET o $_POST. Es decir si pasaste pagina.php?Busqueda=Esta ' Es la busqueda, automaticamente sin que tengas que utilizar la funcion magic_quotes_gpc lo dejara asi Esta \' Es la busqueda.

En este caso lo quita automaticamente.

Y luego

Código PHP:

  $theValue = function_exists("mysql_real_escape_string") ? mysql_real_escape_string($theValue) : mysql_escape_string($theValue);

Hace lo mismo, si se puede utilizar la funcion mysql_real_escape_string lo hace por real_scape_string, sino lo hace por mysql_escape_string.

La funcion mysqsl_escape_string actua similarmente a addslashes...
Pero dicen por ahi que es mejor...
En todo caso lo que hace es escapar tambien las comillas, caracteres especiales...
etc.

Código PHP:

  switch ($theType) { 
    case "text": 
      $theValue = ($theValue != "") ? "'" . $theValue . "'" : "NULL"; 
      break;     
    case "long": 
    case "int": 
      $theValue = ($theValue != "") ? intval($theValue) : "NULL"; 
      break; 
    case "double": 
      $theValue = ($theValue != "") ? "'" . doubleval($theValue) . "'" : "NULL"; 
      break; 
    case "date": 
      $theValue = ($theValue != "") ? "'" . $theValue . "'" : "NULL"; 
      break; 
    case "defined": 
      $theValue = ($theValue != "") ? $theDefinedValue : $theNotDefinedValue; 
      break; 
  }

Este switch convierte al tipo que le pasaste a la funcion, a la variable que le pasaste.

Por ejemplo si le pasas double, te devuelve el valor entero de la variable, y le agrega las comillas para anidarlo a la consulta.

si le pasaste por ejemplo...

GetSQLValueString(175.6,'double');

la funcion te va a retornar el valor entero y escapado con las comillas agregadas de 175.6
es decir '175.6'

pero no lo hace para el valor int

Lo que no entendi en verdad es:

Código PHP:

  case "defined": 
      $theValue = ($theValue != "") ? $theDefinedValue : $theNotDefinedValue;

ya que no afecta a la variable $theValue, ni tampoco retorna nada......
es decir no va a hacer nada si le pasas GetSQLValueString(175.6,'defined','cualquiercosa', 'cualquiercosa');

Saludos.

bocasecaman · #8 (**permalink**) 27/11/2008, 16:46

Gracias a todos, mañana me pondre con ello que hoy es tarde pero gracias por contestar