Basta con esto o se necesita algo mas?

Para evitar problemas con la consulta e inyecciones sql cuando se envia informacion mediante un formulario:

$texto = mysql_real_escape_string ( $texto );

Y cuando se imprime algun texto con caracteres especiales:

echo htmlentities($texto, ENT_QUOTES);

Basta con esto o se necesita algo mas?

Yo creo que si aunque tmb lo que hago para comprovar es en una funcion recibiarla y guardarla en otra variable luego limpiarla, y al final comprovar la variable limpiada con la original si son iguales regresa la variable, si son diferentes mestro un mensaje de intento de injeccion o algo asi jeje.

pero entonces desconfias de mysql_real_escape_string? te a pasado algo antes o sabes de alguien que le paso?

pues fue algo asi que metieron el codigo de injeccion con codigo demas y que al limpiarlo quedo el codigo a injectarme y de ahi hackearon, por lo que tuve que hacer lo anterior de comparar el limpio con el original insertado, ademas no esta demas comprovarlo jeje.

:O y como lo haces? podrias darme algun ejemplo?

Hola,

Técnicamente es todo lo que se necesita, pero mysql_real_escape_string es una arma de dos filos, si no la usas bien seguramente te va a dar problemas,

Anda y lee el manual, y entiende perfectamente que hace la función, de esa forma vas a aprender a usarla de la manera correcta,

Saludos,

ps:

El ejemplo que mostré seguramente no funciona, es solo para darte una idea por donde pueden estar los problemas.

Hola, gracias HackmanC, bueno no se mucho de inyecciones sql pero, podrian darme algun ejemplo de como evitarlas? alguien? o como le asen ustedes los que hacen sus paginas web??? como le ase foros del web??? cuanto es la mita de 2 + 3? por que el cielo es azul? quien es el chacal de la trompeta de sabado gigante???

Hola,

2.5 ó 2½
Pero depende de la precedencia de los operadores, (la mitad de 2) + 3 o la mitad de (2 + 3).

Por el oxigeno que hay en la atmósfera.



Bueno, ya en serio ... esa es la mejor parte de la computación, que muchas veces es tu propia imaginación, tus ideas y tu mente la única que te puede dar la respuesta, aunque escribiera mil ejemplos seguramente van a existir otros mil que no conozco.

Pero para evitarlas completamente lo mejor es conocer todas las herramientas que usas a la perfección, o por lo menos lo mejor posible; si sabes SQL y PHP como un experto seguramente van a existir pocas posibilidades que te puedan hacer inyección de SQL, si por el contrario te dedicas solamente a ver un par de ejemplos de como se hace, seguramente alguien más va a encontrar los fallos en tus programas y no te va a servir de nada.

La típica inyección SQL es insertar datos por medio del POST en las consultas a la base de datos, de allí en adelante 'posiblemente' existen miles de formas dependiendo de los errores del programador que hizo la página web.

Pero .. ¿por qué no buscas mayor información en foros del web?

http://www.forosdelweb.com/f18/ejemp...on-sql-314674/
http://www.forosdelweb.com/search.ph...eccion+sql+php

Saludos,

Gracias HackmanC, ya me ley el post y me ley otros cuantos, entonces no ay por ay una funcion definitiva es lo que dices, cada quien usa la que quiera o la que le guste mas... Pordiran decirme como le hacen ustedes, podiran poner sus funciones, creo que esto seria muy util para todos :D

Hola,

Creo que no entendiste completamente lo que quise expresar. No, no hay una función definitiva, pero tampoco cada quien usa la que quiera o le guste mas. Sino que depende completamente del tipo de programa y el buen uso puntual de las instrucciones que tiene el lenguaje.

Acá te mostré un buen ejemplo de la instrucción mysql_real_escape_string mal aplicada, donde la misma no hace absolutamente nada en la prevención del problema,

Pero tampoco significa que siempre vas a resolver todos los problemas de la misma forma. Vas a aplicar las instrucciones dependiendo del problema, el tipo de programa, su estructura y sus características únicas e independientes.

Cada programa va a ser completamente diferente. En el manual de PHP tienes todas las funciones que te pueden servir para evitar la inyección SQL, pero depende de ti y únicamente de ti aplicarlas correctamente porque todos los programas van a ser diferentes, aunque sean parecidos y tengan características similares siempre van a ser únicos.

La única solución real que te queda es estudiar el manual a profundidad y comprender como funciona SQL y PHP. Sino vas a aplicar las funciones en donde no van y siempre te van a poder realizar inyección SQL en tus programas.

Aunque si revisas todos los temas de foros del web que hablan del tema y aplicas todas las funciones que aquí explican, posiblemente tengas el 90% cubierto, es decir, el otro 10% depende del programa que estés haciendo, tu imaginación y tu conocimiento de las funciones para aplicarlas correctamente.

Si encuentras una función que diga que es infalible, seguramente va a ser un caso puntual, exacto, a un tipo de problema específico. Te diría que usaras la 'limpieza' de variables de Joomla o Wordpress, pero si no sabes como funciona seguramente lo vas a aplicar incorrectamente.

Saludos,

Vamos a ver si ahora entiendo mejor...

http://www.forosdelweb.com/f18/seguridad-php-importante-805957/


mysql_real_escape_string();
Escapa caracteres especiales de una cadena para su uso en una sentencia
SQL, tomando en cuanto el juego de caracteres actual de la conexión.

strip_tags();
Elimina todas las etiquetas HTML que encuentra en el parametro
que le pases.

htmlentities();
Sustituye todas las etiquetas HTML que encuentra por su codigo,
para introducirlo en la BBDD.
(ej By Heli0s: cambiara el signo < por &lt; y el signo > por &gt;)

Addslashes();
Añade barra de escape a ciertos caracteres,
como por ejemplo a la comilla simple, '.

is_numeric(); o is_string(); etc..

Devuelve TRUE si var es una cadena o numero
(depende la funcion que uses), y FALSE en otro caso.
ereg(); (Expresiones regulares)


No usar HTTP_POST_VARS, HTTP_COOKIE_VARS, en cambio, usar $_POST o $_COOKIE.


No usar ereg_* para expresiones regulares, en cambio, usar preg_*



error_reporting(),
se puede hacer uso de esta función propia de PHP error_reporting(), para ayudarle a asegurar su código y encontrar el uso de variables que podrían ser peligrosas. Un atacante puede determinar el orden de autenticación en un script, (por medio del número de línea de los errores) como también probar exploits que pueden ser utilizados en diferentes ubicaciones del script.

Hay tres grandes soluciones a este problema. La primera consiste en examinar todas las funciones, e intentar arreglar la mayoría de los errores. La segunda es deshabilitar completamente la notificación de errores de el código en ejecución. La tercera es utilizar las funciones de manejo de error propias de PHP para crear su propio manejador de errores. Dependiendo de su política de seguridad, puede ser que encuentre que las tres sean aplicables a su situación.

Conociendo estas funciones, solo es custion de aplicarlas correctamente.

Ahora vuelvo a preguntar, basta con esto o se necesita algo mas?

Hola,



¿Entendiste el ejemplo que mostré?

¿Que funciones de toda la lista que pusiste usarías para arreglar el problema?

Parece que no has comprendido nada, no hay funciones mágicas, y no porque apliques todas las funciones relacionadas al tema vas a estar seguro que ya no hay problemas. Hay situaciones que los tienes que arreglar hasta con strpos(), un explode(), o funciones por el estilo.

Pero bueno, posiblemente alguien mas tenga la lista de formulas mágicas que yo no conozco, y te dé todas las posibles variaciones que existen de inyección SQL en todas las posibles situaciones existentes.

Saludos.

, mmm aver:


Ronruby
TODO input proveniente del usuario debe ser validado y en todo caso filtrado. Es allí donde residen todos los inconvenientes para la seguridad de una pagina. Nunca confiar en el usuario.

pateketrueke
Claro, un input (que significa entrada) no es únicamente a través de formularios, también puede ser a través de enlaces...

entonces la entrada -input- sería todo aquello que podemos obtener del usuario a través de la web misma, hay que recordar que el método GET no implica formularios solamente...

y que por el método POST también pueden ejecutar nuestros scripts, simulando un formulario con cURL por ejemplo, etc...


como por ejemplo?



Gracias HackmanC, pero ahora si ando mas confundido...

Hola,

No hay funciones mágicas, es tu puro conocimiento e imaginación para resolver los problemas informáticos. Aunque evidentemente en el ejemplo el principal error es usar una variable recibida del usuario como nombre de la tabla.

Saludos.

ps:

El ejemplo puede contener errores, es puramente demostrativo. Si no pudiste resolviste el problema anterior de alguna forma tu mismo usando funciones como strpos(), que no hay otra forma, entonces queda completamente aclarado mi punto.

HackmanC, Gracias por tu ayuda pero, ahora si que no se asta donde o cuanto es lo que se tiene que hacer para evitar ataques inyecciones MySQL, acaso es tan difícil? como validarías tu HackmanC, un insert como el que se hace al responder a un tema aquí en foros del web????? yo puedo decirte como yo lo haria, pero que mejor alguien que esta mas avanzado en el tema...

Hola,

Primero, que tan avanzado en el tema esté no lo puedo saber, no hay una medida de cuanto sabes sobre algo, yo simplemente trato de aprender todo lo que pueda o me sea posible para ejercer mejor mi profesión de programador.

Pero el problema de la inyección SQL es realmente complicado, depende de las prácticas de programación que tengas. Así por ejemplo, un post en un foro podría ser validado simplemente con mysql_real_escape_string, y posiblemente estaría a salvo del problema en cuestión, no así de otros problemas.

Las posibilidades que alguien logre inyectar código con el ejemplo anterior son casi nulas, aunque depende de otros errores del programador o administrador del sitio. ¿Que podría sucedería con el problema anterior si estuviera la variable del sistema magic_quotes_gpc establecida en ON?.

Básicamente es la complejidad del problema lo que convierte algo fácil en un problema difícil de resolver. Y acá solo hablamos de inyección SQL, no así de Javascript u otros.

¿Como resuelvo personalmente estos problemas? Me imagino mentalmente todas las posibilidades que podrían venir en el POST y me imagino el resultado que podría obtener si alguien mas lo hace. Intento con todas las cosas mas absurdas que nunca podrían suceder, y espero que las que no se me ocurrieron nunca sucedan.

Pero para eso me sé la tabla ASCII de memoria, conozco como es la estructura de todas las instrucciones SQL casi perfectamente, conozco para qué sirve la comilla, la comilla doble, el backtick, la diagonal, la diagonal invertida y todos los demás caracteres, inclusive el caracter null (0). Conozco bien como funcionan los browsers, como mandan los POST, como se reciben, que codificación de caracteres usan, y como la procesa PHP.

Y me imagino todas las combinaciones de estos que se me ocurran aplicados a mi programa, lógicamente intentando producir el resultado 'no deseado'. Y por último busco como evitarlo.

Saludos,

Eso es lo que me trae en jaque, a que otros problemas te refieres HackmanC???

Saludos,

Hola,

Simple, imagina que eres un Cracker, y quieres hacerle daño a los demás simplemente por demostrar que sabes mucho mas que ellos o eso aparentas. Ahora ... piensa en todo lo que se les ocurriría para lograr su objetivo y crea tu código de manera que les sea imposible.

Eso significa muchas, muchas cosas, meter Javascript dentro de un mensaje o post de un foro, cambiar o modificar las instrucciones SQL para que hagan cosas indebidas, meter etiquetas HTML en los post como Object, Flash, ActiveX y Applets para transmitir virus, subir archivos ejecutables en PHP, scripts del shell u otros a los servidores, y no continuo, ni doy detalles, porque al mismo tiempo que ayudas a prevenirlo le das malas ideas a las personas, etc.

Ahora, parte de nuestro trabajo es prevenirlo.

Saludos,

ps:
Por aquello de las dudas, un Hacker no es lo mismo que un Cracker, y bla, bla, bla, etc.

HackmanC, te molestaria mostrar un claro ejemplo de como validarias y mostrarias un mensaje como el que se hace al responder a o crear un tema aqui en foros del web? Estoy muy interesado en esto de evitar ataques sql, gracias.

Saludos

Hola,

Esos ejemplos encuentras por montones si buscas aquí mismo en foros del web. Hay cientos de ejemplos, sino es que son miles, solo tienes que buscarlos.

Básicamente, para validar la mayoría de los casos solo necesitas las instrucciones que tú mismo escribiste aquí. Pero hay casos en los cuales necesitas más, comprendo que quieras un ejemplo para aplicarlo exactamente igual para no tener ningún problema de SQL, pero por mala suerte no existe, no hay una forma preestablecida, global o genérica de resolver esto. Pero con las funciones que pusiste tienes un buen porcentaje cubierto.

Y si quisiera explicar todas las formas que conozco, tendría que escribir un libro, no porque sean muchas, sino porque tendría que explicar muchos conceptos.

Saludos,

Conclucion: a menos de que no sepas bastante como validar correctamente tu aplicacion web, esta no va a estar 100% segura y exixste la posibilidad de que un usuario mal intencionado iserte codigo para afectar el funcionamiento de la misma...

HackmanC cuando dices:

Básicamente, para validar la mayoría de los casos solo necesitas las instrucciones que tú mismo escribiste aquí. Pero hay casos en los cuales necesitas más.

Podiras decirme cuales son esos casos, quiero estar seguro de que entiendo todo esto, pues como dice:

Ronruby

TODO input proveniente del usuario debe ser validado y en todo caso filtrado. Es allí donde residen todos los inconvenientes para la seguridad de una pagina. Nunca confiar en el usuario.?

Entonces cuales serian esos otros casos que dices?

Gracias por ayudarme en este tema HackmanC.

Saludos

Exactamente, esa es la idea.

No lo sé ... existen muchas variaciones, me tomaría demasiado tiempo escribirlo todo y además no creo conveniente explicarlo detalladamente. Pero esto te puedo decir, hace un año, aún cuando puse toda la atención posible a todos los detalles, lograron cambiarme la página principal de un sitio que administraba. ¿Como lo lograron? Aun cuando usé todas las validaciones posibles olvide cambiar los permisos de un archivo y era visible para todo el mundo.

Para terminar, porque esto ya se volvió demasiado repetitivo, no hay una, ni dos, ni cientos, hay miles de formas, así que tienes que pensar en todas. Pero por lo menos yo no voy a detallar ninguna.

Saludos,

Gracias HackmanC,

me pregunto a quien no le abra gustado este tema????????

A mi me parece bastante interesante.