seguridad contra inyeccion SQL

farra · #1 (**permalink**) 06/03/2008, 05:15

una funcion contra la inyeccion sql:

Código PHP:

   if (!function_exists("GetSQLValueString")) { 
function GetSQLValueString($theValue, $theType, $theDefinedValue = "", $theNotDefinedValue = "")  
{ 
  $theValue = get_magic_quotes_gpc() ? stripslashes($theValue) : $theValue; 
 
  $theValue = function_exists("mysql_real_escape_string") ? mysql_real_escape_string($theValue) : mysql_escape_string($theValue); 
 
  switch ($theType) { 
    case "text": 
      $theValue = ($theValue != "") ? "'" . $theValue . "'" : "NULL"; 
      break; 
    case "int": 
      $theValue = ($theValue != "") ? intval($theValue) : "NULL"; 
      break; 
    case "double": 
      $theValue = ($theValue != "") ? "'" . doubleval($theValue) . "'" : "NULL"; 
      break; 
    case "date": 
      $theValue = ($theValue != "") ? "'" . $theValue . "'" : "NULL"; 
      break; 
    case "defined": 
      $theValue = ($theValue != "") ? $theDefinedValue : $theNotDefinedValue; 
      break; 
    case "like1": 
      $theValue = ($theValue != "") ? "'%" . $theValue . "%'" : "NULL"; 
      break; 
    case "like2": 
      $theValue = ($theValue != "") ? "'" . $theValue . "%'" : "NULL"; 
      break; 
    case "like3": 
      $theValue = ($theValue != "") ? "'%" . $theValue . "'" : "NULL"; 
      break; 
  } 
  return $theValue; 
} 
}

quisiera saber si es 100% segura?

GatorV · #2 (**permalink**) 06/03/2008, 09:07

Esa función (autogenerada por DW), es segura, pero no te deberías de fiar, todavía podrían usar ataques XSS para insertar JavaScript o algún otro contenido a tu pagina.

Saludos.

farra · #3 (**permalink**) 06/03/2008, 12:06

Cita:

Iniciado por GatorV

Esa función (autogenerada por DW), es segura, pero no te deberías de fiar, todavía podrían usar ataques XSS para insertar JavaScript o algún otro contenido a tu pagina.

Saludos.

ya entiendo, me pueden poner en el post algo asi:

Código:

<script> document.location.href='http://paginamaliciosa.com/' </script>

y se inserta eso en la BD y cuando listen en la pagina los usuarios van a ser direccionados..

le modifique ahora el codigo y le puse 'htmlentities'

Código PHP:

   
if (!function_exists("GetSQLValueString")) {  
function GetSQLValueString($theValue, $theType, $theDefinedValue = "", $theNotDefinedValue = "")   
{  
  $theValue = get_magic_quotes_gpc() ? stripslashes($theValue) : $theValue;  
 
  $theValue = function_exists("mysql_real_escape_string") ? mysql_real_escape_string($theValue) : mysql_escape_string($theValue);  
 
  switch ($theType) {  
    case "text":  
      $theValue = ($theValue != "") ? "'" . $theValue . "'" : "NULL";  
      break;  
    case "int":  
      $theValue = ($theValue != "") ? intval($theValue) : "NULL";  
      break;  
    case "double":  
      $theValue = ($theValue != "") ? "'" . doubleval($theValue) . "'" : "NULL";  
      break;  
    case "date":  
      $theValue = ($theValue != "") ? "'" . $theValue . "'" : "NULL";  
      break;  
    case "defined":  
      $theValue = ($theValue != "") ? $theDefinedValue : $theNotDefinedValue;  
      break;  
    case "like1":  
      $theValue = ($theValue != "") ? "'%" . $theValue . "%'" : "NULL";  
      break;  
    case "like2":  
      $theValue = ($theValue != "") ? "'" . $theValue . "%'" : "NULL";  
      break;  
    case "like3":  
      $theValue = ($theValue != "") ? "'%" . $theValue . "'" : "NULL";  
      break;  
  }  
 
$theValue=htmlentities($theValue);  // agregado 
  
 return $theValue; 
}

con el htmlentities cuando listen se va a ver asi en el codigo fuente html:
<script> document.location.href='http://paginamaliciosa.com/' </script>
pero el usuario va a ver esto en su navegador:
<script> document.location.href='http://paginamaliciosa.com/' </script>
sin que se ejecute...

y ahora esta 100% segura o que otra vulnerabilidad detectas?