Es suficiente con AddSlashes() para evitar la inyección SQL?

hgp147 · #1 (**permalink**) 05/01/2008, 16:40

Hola, quería saber si era suficiente con AddSlashes() para evitar la Inyección SQL.

Muchas gracias.

j_aroche · #2 (**permalink**) 05/01/2008, 16:46

Yo creo que es mejor detectar si magic_quotes está activo y usar mysql_real_escape_string.

cybersersupremo · #3 (**permalink**) 05/01/2008, 16:59

Cita:

Iniciado por hgp147

Hola, quería saber si era suficiente con AddSlashes() para evitar la Inyección SQL.

Muchas gracias.

yo creo que si que es suficiente.

#4 (**permalink**) 05/01/2008, 17:54

Las funciones que te han dado te ofrecen más o menos protección. Mira esta función. Es una combinacion de todo lo que te dicen ahi arriba, lo que la hace en cierta forma más segura

:

Código PHP:

  function mysql_escape($val) {
    if (get_magic_quotes_gpc()) $val = stripslashes($val);
    $f = (function_exists('mysql_real_escape_string')) ? "mysql_real_escape_string" : ((function_exists('mysql_escape_string')) ? "mysql_escape_string" : "addslashes");
    return (!is_numeric($val)) ? "'".$f($val)."'" : $val;
}

FORMA DE USO:

Tu consulta es:

Código PHP:

  $sql = "SELECT * FROM tabla WHERE campo1=".mysql_escape('hola')." AND campo2=".mysql_escape(4);

Espero te sirva...

Un saludo,

yrduk · #5 (**permalink**) 06/01/2008, 10:02

Hola! cuando empezé a trabajar con bases de datos, y a programar sistemas que requieran consultas, etc... programé mi pequeña función de seguridad, la pongo aqui para el que le pueda servir

Código PHP:

  function security($variable, $echo) { 
$variable = strip_tags($variable); 
$variable = trim($variable); 
$variable = str_replace("&", "&amp;", $variable); 
$variable = str_replace("'", "&#039", $variable); 
$variable = str_replace("?", "&#039", $variable); 
$variable = str_replace("`", "&#039", $variable); 
$variable = str_replace("\"", "&quot;", $variable); 
if($echo==1) { echo $variable; } 
return $variable; 
}

Saludos!

hgp147 · #6 (**permalink**) 06/01/2008, 16:28

Hola, gracias a todos por su ayuda. Voy a probar los códigos de okram y yrduk.

farra · #7 (**permalink**) 05/04/2008, 00:58

usa esta funcion para todas las variables externas $_GET $_POST $_COOKIE etc...

Código PHP:

   
if (!function_exists("GetSQLValueString")) { 
function GetSQLValueString($theValue, $theType, $theDefinedValue = "", $theNotDefinedValue = "")  
{ 
  $theValue = get_magic_quotes_gpc() ? stripslashes($theValue) : $theValue; 
 
  $theValue = function_exists("mysql_real_escape_string") ? mysql_real_escape_string($theValue) : mysql_escape_string($theValue); 
 
  switch ($theType) { 
    case "text": 
      $theValue = ($theValue != "") ? "'" . $theValue . "'" : "NULL"; 
      break;     
    case "long": 
    case "int": 
      $theValue = ($theValue != "") ? intval($theValue) : "NULL"; 
      break; 
    case "double": 
      $theValue = ($theValue != "") ? "'" . doubleval($theValue) . "'" : "NULL"; 
      break; 
    case "date": 
      $theValue = ($theValue != "") ? "'" . $theValue . "'" : "NULL"; 
      break; 
    case "defined": 
      $theValue = ($theValue != "") ? $theDefinedValue : $theNotDefinedValue; 
      break; 
  } 
  return $theValue; 
} 
}

ejemplo de llamando a la funcion:

Código PHP:

  $variable=GetSQLValueString($_GET['Id'],"int");

farra · #8 (**permalink**) 05/04/2008, 01:10

NO ES SUFICIENTE..! solo elimina las comillas.... que pasa si te hacen una inyeccion parecida a esta:

Código HTML:

http://www.ejemplo.com/articulo.php?Idarticulo=-1/**/UNION/**/ALL/**/SELECT/**/1,2,concat(usuario,0x3a,clave),null,5,6/**/FROM/**/users/*

luego ya van a poder ver todos los nombres de usuarios y claves de tus usuarios!

bue.. vos decis, que importa! total las claves estan protegidas con md5... bue.. les cuento que existen paginas para saber, por ejemplo: http://www.md5search.org/

mixme · #9 (**permalink**) 24/09/2008, 02:51

porque pasais querys por GET?
Ademas de ser peligroso es bastante feo de cara a las URLs

juanfuentes · #10 (**permalink**) 24/09/2008, 05:08

Cita:

Iniciado por mixme

Ademas de ser peligroso es bastante feo de cara a las URLs

Cuidado!!!! Pasar variables por GET o por POST es igual de peligroso!!!! No pienses que por pasar las variables por POST ya está todo solucionado, ni mucho menos.

Un usuario inexperto no sabrá realizar peticiones POST, ya que al entrar las variables por URL desde la línea del navegador siempre serán GET.

Pero un usuario con unos mínimos conocimientos en el uso de herramientas clientes HTTP (tipo curl o wget) podrá realizar peticiones POST (incluso enviar cookies o identificadores de sesión).

Covids0020 · #11 (**permalink**) 24/09/2008, 08:49

Yo... lo mismo siempre estoy igual, pero es que hace tiempo que empecé a quitarme la manía de reinventar la rueda.

A) Mirar la infinidad de clases de gestión de bases de datos habidas en los prefabricados: Drupal, Wordpress, Mambo.... Normalmente están bien hechas y son abstractas, se pueden llevar a otros sistemas o adpatándolas sólo un poco.

B) Lo mejor en mi opinión. Usar alguna librería sólida como las de PEAR o frameworks como Zend, entre otros.

Está bien aprender... pero es que hay cosas que ya no se les puede dar más vueltas, sólo y en todo caso mejorarlas o actualizarlas.

Yo creo que es mucho más sencillo bajarse un framework o una librería, usar sus componentes y punto.
Que normalmente podrá ser usado con algo parecido a esto:

Código PHP:

  include_once('ruta_componente_y_o_dependencias');
$myDB = new $componenteClass;
$myQueryStr = $myDB->escape('QUERY_STR');
$myQuery = $myDB->query($myQueryStr);

4 líneas, toma ya, limpio, elegante... sencillo.
Además, seguro que está mucho mejor mantenida y chequeada que cualquier código nuestro porque normalmente hay una gran comunidad alrededor.
Obviamente cada cual hace lo quiere, pero vamos... creo que otra cosa es perder el tiempo.

PD: En cualquier otro caso usaría la de Okram y por extensión la de Farra ;)

chitoso · #12 (**permalink**) 24/09/2008, 09:06

Es como todo, tendrías que evaluar costo/beneficio... Esta función puede ser suficiente en algunos casos.

En este link, te pasan 3 opciones que son mejores que simplemente usar AddSlashes. Una es usar el mecanismo de escape de caracteres de cada proveedor de base de datos, por ejemplo mysql_real_escape_string(). La otra, usar PDO. Y la última, usar una librería de terceros.

http://devzone.zend.com/article/1918...-SQL-Injection

Yo uso PDO y la verdad, a pesar de que no hay mucho tutorial en internet, luego que le agarras la mano, es bastante útil. Lo recomiendo como buena practica.

Saludos

chitoso · #13 (**permalink**) 24/09/2008, 09:16

Te dejo la url del manual PHP y un código de muestra que uso en una de mis apps.

PHP: PDO

Código php:

Ver original...            
        
$stmt = $link->prepare("INSERT INTO administrators(id, username, password, email, phone, type) 
VALUES (:id, :username, :password, :email, :phone, :type)");
            
$stmt->bindParam(':id', $new_id);
$stmt->bindParam(':username', $p_admin->getUsername());
$stmt->bindParam(':password', $p_admin->getPassword());
$stmt->bindParam(':email', $p_admin->getEmail());
$stmt->bindParam(':phone', $p_admin->getPhone());
$stmt->bindParam(':type', $p_admin->getType());
 
try{
    $stmt->execute();
}
catch(PDOException $e){
    throw new Exception($e->getMessage());
}
...