SOS SQL inyection

apadravya · #1 (**permalink**) 26/01/2012, 15:51

Holas otra vez, me urge arreglar una gran vulnerabilidad en mi pagina web:

tengo un formulario que ingresa los datos DIRECTAMENTE en un base de datos... es una vía directa a cualquier tipo de inyección y quiero cortarlo por lo sano censurando uno o dos caracteres importantes como "<" o "["

he encontrado algún código majo y sencillo pero sin instrucciones como este:

http://www.desarrolloweb.com/faq/no-permitir-caracteres-especiales.html

Cita:

function validaCaractaer(pEvent)

{

if (pEvent.keyCode==241) //esta es la letra ñ

{

pEvent.keyCode = 0; //Cuando le haces esto le impides la escritura del caracter en la caja

}

}

<input type="text" onkeypress="validaCaractaer(event);">

pero no consigo hacer que funcione... alguien es capaz de detectar algún error?

me dice que el error esta en la primera linea, que entre el "pEvent" y el ")" falta algo

quiero pensar que el código va:

<body>
<?php
AQUI
?>
</body>

he leído otras ideas menos elegantes y mas largas.. que tampoco consigo hacer funcionar... también acepto ideas nuevas que estoy fresco XD

#2 (**permalink**) 26/01/2012, 16:11

si subes el formulario sera mas facil ayudarte y la pagina donde recibes los datos ay es donde ay que escapar los datos

si subes ambas paginas lo solucionamos rapidamente

geeck22 · #3 (**permalink**) 26/01/2012, 16:36

ese problema lo puedes solucionar con un str remplace ;) aunque seria mejor que subieras tu codigo para examinarlo bien y poderte ayudar

oso96_2000 · #4 (**permalink**) 26/01/2012, 16:46

Primero que nada, código que pones es javascript. Segundo, eso no te va a ayudar en nada, si acaso a detener a esos script kiddies que no saben ni como desactivar la ejecución de javascript.

Te aconsejo leer un poco mas sobre el tema, es mejor prevenir del lado del servidor, es decir, con funciones de php. Echale un ojo a funciones como mysql_real_escape_string o, incluso mejor, usar PDO.

#5 (**permalink**) 26/01/2012, 16:55

espero que te sirva

Código PHP:

Ver original$VALOR = strip_tags(trim($_POST['VALOR']));
 
mysql_query("SELECT * FROM tabla WHERE valor = % ", mysql_real_escape_string(stripslashes($VALOR)));

apadravya · #6 (**permalink**) 26/01/2012, 17:02

voy a añadir información pero adelanto que me quedo sin tiempo por hoy...

el código de la pagina php que agrega películas y en el que está el formulario que quiero proteger es este:

Código PHP:

Ver original<head>
Blablablablablabla
</head>
<?php
 
 
echo '<center>';
if (!$_POST) {
    ?>
    
 
    <center><img src="img/banner.jpg" width="600" height="200" /></center>
    
    <div align="center" style="background-image:url(img/marco.png); background-repeat:no-repeat; background-position:center; width: 250px; height: 600px">
    <form method="post" action="agregar.php" />
    <h1><b><p><br /></p>Colabora:</b></h1>
    Titulo: <input name="titulo" type="text" value="Titulo de la obra" maxlength="80" onkeypress="validaCaractaer(event);"/><p></p>    
    Estreno: <input name="fecha" type="text" value="Año"  maxlength="4" /><p></p>
    Sinopsis: <input name="sinopsis" type="text" value="No nos cuentes el final!"  maxlength="250" /><p></p>
    Licencia: <input name="licencia" type="text" onclick="alert('¡Se legal, GRACIAS!')" value="Derechos"  maxlength="20"/><p></p>
    Tu Nick: <input name="colaborador" type="text" value="anonymous"  maxlength="10" /><p></p>
    Genero 1: <select name="genero1">
      <option selected="selected">Selecciona uno</option>
      <option value="Acción">Acción</option>
      <option value="Animación">Animación</option>
      <option value="Artes marciales">Artes marciales</option>
      <option value="Aventuras">Aventuras</option>
      <option value="Belico">Belico</option>
      <option value="Biográfica">Biográfica</option>
      <option value="Ciencia ficcion">Ciencia ficcion</option>
      <option value="Familiar">Familiar</option>
      <option value="Comedia">Comedia</option>
      <option value="Corto">Corto</option>
      <option value="Crimen">Crimen</option>
      <option value="Deporte">Deporte</option>
      <option value="Drama">Drama</option>
      <option value="Erótico">Erótico</option>
      <option value="Histórico">Histórico</option>
      <option value="Infantil">Infantil</option>
      <option value="Musical">Musical</option>
      <option value="Periodismo">Periodismo</option>
      <option value="Suspense">Suspense</option>
      <option value="Terror">Terror</option>
      <option value="Thriller">Thriller</option>
      <option value="Western">Western</option>
      <option value="Zombies">Zombies</option>
    </select><p></p>
    Genero 2: <select name="genero2">
      <option selected="selected">Selecciona uno</option>
      <option value="Acción">Acción</option>
      <option value="Animación">Animación</option>
      <option value="Artes marciales">Artes marciales</option>
      <option value="Aventuras">Aventuras</option>
      <option value="Belico">Belico</option>
      <option value="Biográfica">Biográfica</option>
      <option value="Ciencia ficcion">Ciencia ficcion</option>
      <option value="Familiar">Familiar</option>
      <option value="Comedia">Comedia</option>
      <option value="Corto">Corto</option>
      <option value="Crimen">Crimen</option>
      <option value="Deporte">Deporte</option>
      <option value="Drama">Drama</option>
      <option value="Erótico">Erótico</option>
      <option value="Histórico">Histórico</option>
      <option value="Infantil">Infantil</option>
      <option value="Musical">Musical</option>
      <option value="Periodismo">Periodismo</option>
      <option value="Suspense">Suspense</option>
      <option value="Terror">Terror</option>
      <option value="Thriller">Thriller</option>
      <option value="Western">Western</option>
      <option value="Zombies">Zombies</option>
    </select><p></p>
    Enlace: <input name="link" type="link" value="Ver pelicula online" maxlength="100" /><p></p>
    Enlace: <input name="descarga" type="link" value="Descargar pelicula" maxlength="100" /><p></p>
    
    <p>
      <input type="submit" value="Enviar" />
      
      <input name="Borrar" type="reset" />
      <br />
      </p>
</div>
    
    
    <?php
 
}else{
    
    
    
    $ssql = "insert into peliculas (titulo, fecha, sinopsis, licencia, colaborador, genero1, genero2, link, descarga) values ('" . $_POST["titulo"] . "', '" . $_POST["fecha"] . "', '" . $_POST["sinopsis"] . "', '" . $_POST["licencia"] . "', '" . $_POST["colaborador"] . "', '" . $_POST["genero1"] . "', '" . $_POST["genero2"] . "', '" . $_POST["link"] . "', '" . $_POST["descarga"] . "')";
    
    
    $conexion = mysql_connect("xxxxxx","xxxxxxxx","xxxxxxxx"); 
mysql_select_db ("xxxxxxxxxx",$conexion);
    if(mysql_query ($ssql, $conexion)){
        echo "<center><img src='img/banner.jpg'<p><br></p><h1>Datos agregados. ¡Muchas gracias!</h1><center>";
        
    }else{
        echo "Error";
        echo mysql_error($conexion);
    }
}
    
echo '</center>';
    ?>

apadravya · #7 (**permalink**) 26/01/2012, 17:14

Cita:

Iniciado por webankenovi

espero que te sirva

Código PHP:

Ver original$VALOR = strip_tags(trim($_POST['VALOR']));
 
mysql_query("SELECT * FROM tabla WHERE valor = % ", mysql_real_escape_string(stripslashes($VALOR)));

esto que significa?

que puedo hacer que en query que muestra el contenido de la base de datos omita los caracteres especiales que meta en "VALOR"?

#8 (**permalink**) 26/01/2012, 17:35

striptags retira etiquetas html y php del string
Trim retira espacios
Mysql_real_escape_string y stripslashes escapan datos
Pruebalo en un input y en el form introduce codigo y observa q se guardo pa q veas el resultado

apadravya · #9 (**permalink**) 26/01/2012, 17:37

muy bien, mañana a primera hora lo intento y comento resultados, que se me cierran los ojos... Muchas gracias

apadravya · #10 (**permalink**) 27/01/2012, 05:11

a ver... no me queda nada claro... mi formulrio está en una pagina php:

Código PHP:

Ver original<head>
    Blablablablablabla
    </head>
    <?php
     
     
    echo '<center>';
    if (!$_POST) {
        ?>
       
     
        <center><img src="img/banner.jpg" width="600" height="200" /></center>
       
        <div align="center" style="background-image:url(img/marco.png); background-repeat:no-repeat; background-position:center; width: 250px; height: 600px">
        <form method="post" action="agregar.php" />
        <h1><b><p><br /></p>Colabora:</b></h1>
        Titulo: <input name="titulo" type="text" value="Titulo de la obra" maxlength="80" onkeypress="validaCaractaer(event);"/><p></p>    
        Estreno: <input name="fecha" type="text" value="Año"  maxlength="4" /><p></p>
        Sinopsis: <input name="sinopsis" type="text" value="No nos cuentes el final!"  maxlength="250" /><p></p>
        Licencia: <input name="licencia" type="text" onclick="alert('¡Se legal, GRACIAS!')" value="Derechos"  maxlength="20"/><p></p>
        Tu Nick: <input name="colaborador" type="text" value="anonymous"  maxlength="10" /><p></p>
        Genero 1: <select name="genero1">
          <option selected="selected">Selecciona uno</option>
          <option value="Acción">Acción</option>
          <option value="Animación">Animación</option>
          <option value="Artes marciales">Artes marciales</option>
          <option value="Aventuras">Aventuras</option>
          <option value="Belico">Belico</option>
          <option value="Biográfica">Biográfica</option>
          <option value="Ciencia ficcion">Ciencia ficcion</option>
          <option value="Familiar">Familiar</option>
          <option value="Comedia">Comedia</option>
          <option value="Corto">Corto</option>
          <option value="Crimen">Crimen</option>
          <option value="Deporte">Deporte</option>
          <option value="Drama">Drama</option>
          <option value="Erótico">Erótico</option>
          <option value="Histórico">Histórico</option>
          <option value="Infantil">Infantil</option>
          <option value="Musical">Musical</option>
          <option value="Periodismo">Periodismo</option>
          <option value="Suspense">Suspense</option>
          <option value="Terror">Terror</option>
          <option value="Thriller">Thriller</option>
          <option value="Western">Western</option>
          <option value="Zombies">Zombies</option>
        </select><p></p>
        Genero 2: <select name="genero2">
          <option selected="selected">Selecciona uno</option>
          <option value="Acción">Acción</option>
          <option value="Animación">Animación</option>
          <option value="Artes marciales">Artes marciales</option>
          <option value="Aventuras">Aventuras</option>
          <option value="Belico">Belico</option>
          <option value="Biográfica">Biográfica</option>
          <option value="Ciencia ficcion">Ciencia ficcion</option>
          <option value="Familiar">Familiar</option>
          <option value="Comedia">Comedia</option>
          <option value="Corto">Corto</option>
          <option value="Crimen">Crimen</option>
          <option value="Deporte">Deporte</option>
          <option value="Drama">Drama</option>
          <option value="Erótico">Erótico</option>
          <option value="Histórico">Histórico</option>
          <option value="Infantil">Infantil</option>
          <option value="Musical">Musical</option>
          <option value="Periodismo">Periodismo</option>
          <option value="Suspense">Suspense</option>
          <option value="Terror">Terror</option>
          <option value="Thriller">Thriller</option>
          <option value="Western">Western</option>
          <option value="Zombies">Zombies</option>
        </select><p></p>
        Enlace: <input name="link" type="link" value="Ver pelicula online" maxlength="100" /><p></p>
        Enlace: <input name="descarga" type="link" value="Descargar pelicula" maxlength="100" /><p></p>
       
        <p>
          <input type="submit" value="Enviar" />
         
          <input name="Borrar" type="reset" />
          <br />
          </p>
    </div>
       
       
        <?php
     
    }else{
       
       
       
        $ssql = "insert into peliculas (titulo, fecha, sinopsis, licencia, colaborador, genero1, genero2, link, descarga) values ('" . $_POST["titulo"] . "', '" . $_POST["fecha"] . "', '" . $_POST["sinopsis"] . "', '" . $_POST["licencia"] . "', '" . $_POST["colaborador"] . "', '" . $_POST["genero1"] . "', '" . $_POST["genero2"] . "', '" . $_POST["link"] . "', '" . $_POST["descarga"] . "')";
       
       
        $conexion = mysql_connect("xxxxxx","xxxxxxxx","xxxxxxxx");
    mysql_select_db ("xxxxxxxxxx",$conexion);
        if(mysql_query ($ssql, $conexion)){
            echo "<center><img src='img/banner.jpg'<p><br></p><h1>Datos agregados. ¡Muchas gracias!</h1><center>";
           
        }else{
            echo "Error";
            echo mysql_error($conexion);
        }
    }
       
    echo '</center>';
        ?>

la sentencia sql que muestra los datos esta en otra pagina:

Código PHP:

Ver original<body>
 
<center>
<img src="img/banner.jpg" width="600" height="200" />
<p></p>
  <?php
  
$conexion = mysql_connect("XXXXXXX","XXXXXX","XXXX"); 
mysql_select_db ("XXXXXX",$conexion);
 
$registros = mysql_query ("select * from `peliculas`", $conexion);
 
while ($fila = mysql_fetch_array($registros)) {
    echo "<div id='fondo' style='border: 0px  yellow solid; width: 600px; padding: 10px;'>";
    echo "<p></p>Titulo: <b>";
    echo $fila["titulo"];
    echo "</b> ------ Año: <b>";
    echo $fila["fecha"];
    echo "<p></p></b>Licencia: ";
    echo $fila["licencia"];
    echo "<br>Genero: ";
    echo $fila["genero1"];
    echo ", ";
    echo $fila["genero2"];
    echo "<p></p> Sinopsis: ";
    echo $fila["sinopsis"];
    echo "<p></p> Colaborador: ";
    echo $fila["colaborador"];
    echo "<br> Ver Online: ";
    echo '<a href="' . $fila["link"] . '"target="_blank">'; 
    echo $fila["link"];
    echo '</a>';
    echo "<br> Descargar: ";
    echo '<a href="' . $fila["descarga"] . '"target="_blank">'; 
    echo $fila["descarga"];
    echo '</a>';
    echo "<p></p>";
    echo "</div>";
}
?>
  
</center></body>

donde tendria que meter este codigo?

Código PHP:

Ver original$VALOR = strip_tags(trim($_POST['VALOR']));
     
    mysql_query("SELECT * FROM tabla WHERE valor = % ", mysql_real_escape_string(stripslashes($VALOR)));

en los inputs o en las sentencias sql?

loncho_rojas · #11 (**permalink**) 27/01/2012, 05:25

y creo que deberia ir en la parte que haces tu insert en la base de datos.. lo que puso el amigo es solo un ejemplo de como funciona...

deberia esta en esta parte, en todos los datos tipo $_POST[]

Código PHP:

  $ssql = "insert into peliculas (titulo, fecha, sinopsis, licencia, colaborador, genero1, genero2, link, descarga) values ('" . $_POST["titulo"] . "', '" . $_POST["fecha"] . "', '" . $_POST["sinopsis"] . "', '" . $_POST["licencia"] . "', '" . $_POST["colaborador"] . "', '" . $_POST["genero1"] . "', '" . $_POST["genero2"] . "', '" . $_POST["link"] . "', '" . $_POST["descarga"] . "')";

el problema con esto es que tienes demasiados parametros para introducir a la BD... En el buscador del FORO existen muchos topicos que hablan de como evitar inyecciones SQL ya resueltos, puede que alguno te sirva para hacer copy paste.. incluso hay funciones ya hechas que te pueden ayudar..

apadravya · #12 (**permalink**) 27/01/2012, 05:55

pufff me pierdo... no se me ocurre ni una idea aproximada de como meterlo en el POST[]

loncho_rojas · #13 (**permalink**) 27/01/2012, 08:11

quieres filtrar un sql injection, pero no entiendes de php, esto esta complicado hermano... si tuviera un poco mas de tiempo te pasaba una mano...

Ribon · #14 (**permalink**) 27/01/2012, 08:36

Las 'ñ' no son tan peligrosas como un usuario malintencionado xD!

acá unos tips de parte de la comunidad PHP para ayudarte a conocer un poco lo que son los SQL injection y unos tips básicos de como prevenirlos

http://www.php.net/manual/es/securit...-injection.php

saludos :)

#15 (**permalink**) 27/01/2012, 10:36

haber esto es para limpiar la variable de codigo

$VALOR = strip_tags(trim($_POST['VALOR']));

y para que lo entiendas te pongo un ejemplo de tu codigo

Código PHP:

Ver original$titulo = strip_tags($_POST['titulo']);
 $fecha= strip_tags($_POST['fecha']);

es decir no pasamos la variable pòst directamente a la consulta lla limpiamos y ya la añadimos a la consulta

ahora en la consulta te pongo un ejemplo de tu codigo

Código PHP:

Ver original$ssql = sprintf("insert into peliculas (titulo,fecha) values ('%s','%s')" 
,mysql_real_escape_string(stripslashes($titulo))
,mysql_real_escape_string(stripslashes($fecha)));

y al mostrarlos igualmente

Código PHP:

Ver originalecho striptags($fila["titulo"]);

este metodo no es 100%100 seguro , hoy en dia nada es seguro pero te solucionara algun problema

apadravya · #16 (**permalink**) 27/01/2012, 17:16

MUY MUY MUY MUY bien... bueno casi.... en el ultimo cigo se te a olvidado un _ pero por lo demas 100% perfecto... voy a ponerlo aqui para que sirva de ayuda a futuros ignorantes:

el codigo bajo el formulario para agregar los datos:

Código PHP:

Ver original$conexion = mysql_connect("xxxxxxxxxxx","xxxxxxxxxxxxxxxxxxxxxx","xxxxxxxxxxxxxxx"); 
mysql_select_db ("xxxxxxxxxxxxxxxxx",$conexion);
 
     $titulo = strip_tags($_POST['titulo']);
     $fecha = strip_tags($_POST['fecha']);
     $sinopsis = strip_tags($_POST['sinopsis']);
     $licencia = strip_tags($_POST['licencia']);
     $colaborador = strip_tags($_POST['colaborador']);
     $genero1 = strip_tags($_POST['genero1']);
     $genero2 = strip_tags($_POST['genero2']);
     $link = strip_tags($_POST['link']);
     $descarga = strip_tags($_POST['descarga']);
 
    
    
        $ssql = sprintf("insert into peliculas (titulo, fecha, sinopsis, licencia, colaborador, genero1, genero2, link, descarga) values ('%s','%s','%s','%s','%s','%s','%s','%s','%s')"
    ,mysql_real_escape_string(stripslashes($titulo))
    ,mysql_real_escape_string(stripslashes($fecha))
    ,mysql_real_escape_string(stripslashes($sinopsis))
    ,mysql_real_escape_string(stripslashes($licencia))
    ,mysql_real_escape_string(stripslashes($colaborador))
    ,mysql_real_escape_string(stripslashes($genero1))
    ,mysql_real_escape_string(stripslashes($genero2))
    ,mysql_real_escape_string(stripslashes($link))
    ,mysql_real_escape_string(stripslashes($descarga)));
    
    
    // esto es lo que tenia antes, pero ya no sirve para nada:
 
//$ssql = "insert into peliculas (titulo, fecha, sinopsis, licencia, colaborador, genero1, genero2, link, descarga) values ('" . $_POST["titulo"] . "', '" . $_POST["fecha"] . "', '" . $_POST["sinopsis"] . "', '" . $_POST["licencia"] . "', '" . $_POST["colaborador"] . "', '" . $_POST["genero1"] . "', '" . $_POST["genero2"] . "', '" . $_POST["link"] . "', '" . $_POST["descarga"] . "')";

y en la pagina que muestra los resultados he cambiado cada

Código PHP:

Ver originalecho $fila["titulo"];

por

Código PHP:

Ver originalecho strip_tags($fila["titulo"]);

ademas he agregado un nuevo aparatado para ir poniendo los nombres de las personas que se han tomado la molestia de forma altruista y que creo que merecen por lo menos la consideración. y tu nombre va a ser el primero, a menos que seas timido :P

MUCHAS GRACIAS

apadravya · #17 (**permalink**) 27/01/2012, 17:19

solucionado pues

#18 (**permalink**) 28/01/2012, 12:00

me alegro amigo , no no soy timido jeje si iba por mi

ademas de strip_tags yo suelo usar strtolower() para hacer todo en minusculas , trim() para retirar espacios donde tu lo consideres , tambien puedes usar htmlentities() o htmlspecialchars() y en la consulta tambien puedes añadir addslashes() y bueno esto es solo un grano de arena de una montaña asi que investiga y mejora tu seguridad y bueno me alegro que te funcionara

por si deseas que funcione alguna etiqueta

$valor = strip_tags(strtolower(trim($ejemplo)),'<a>');

un saludo amigos