Como Evitar SQL Injection

cafu3000 · #1 (**permalink**) 06/05/2013, 17:30

Estimado escribo a ver is alguien me puede hechar una manito.
tengo un formulario en PHP con conexion DB Mysql y quisiera saber de que forma me podria defender de un ataque de "SQL Injection".
Este es parte de mi codigo.
Saludos:

Código:

<?php
$bd=mysql_connect("localhost","root","") or die ("no puedo conectarme");
mysql_select_db("formulario1");

    $rut = $_POST['rut'];
	$razonsocial  = $_POST['razonsocial'];
	$direccion1 = $_POST['direccion1'];
$sql="insert into dato2 (razonsocial, rut, direccion1)
$res=mysql_query($sql,$bd) or die (mysql_error());
 ?>

Triby · #2 (**permalink**) 06/05/2013, 17:45

Podrías leer esto para darte una idea: http://www.forosdelweb.com/f18/aport...8/#post4265377

patrick_ · #3 (**permalink**) 07/05/2013, 08:12

Creo que te faltan las bases de programación. Das por hecho que la entrada del usuario (los datos post) son validos. Deberías verificarlos y escaparlos.

cafu3000 · #4 (**permalink**) 08/05/2013, 08:31

Estimado Patrik, gracias por tu respuesta
me puede ayudar un poco con eso ?.
slds.

bulter · #5 (**permalink**) 08/05/2013, 08:53

Lo que quiere decir patrick_ que nunca te debes de fiar al usurio, siempre tienes que asumir que lo que te pasa el user es malo para tu script.

ejemplo:
Formulario al usuario: ( le pides el nombre )

Código PHP:

  Type your name here: <input type="text" name="data" />

Resultado: (le dices hola)

Código PHP:

  echo "Hola " . $_POST["data"];

Pues, el usuario debe de poner por ejemplo Pepito, pero igual puede poner

Código PHP:

  <script>alert("xss injection");</script>

( que por cierto es lo de menos :D ) Esto es una entrada mala para tu codigo y la tienes que evitar la, es decir filtrar y comprobar la entrada. En el caso de un nombre $_POST["data"] debe de contener solo letras y si hay apellidos espacios. En caso de edad $_POST["age"] debe de ser integer etc.

Código PHP:

  $age = (int)$_POST["age"];
preg_match("/^[a-zA-Z-\s]*/", $_POST["name"], $name);

echo "Hi, " . $name[0] . ". You are " . $age . " years old";

esto es un ejemplo. Otro seria:

Código PHP:

  $age = (int)$_POST["age"];
$name = htmlspecialchars(trim(addslashes($_POST["name"])));

echo "Hi, " . $name[0] . ". You are " . $age . " years old";

efenollal · #6 (**permalink**) 08/05/2013, 09:32

Deberias considerar conectarte a MySQL con PDO en el futuro ya que mysql_connect fue depreciada. Aqui te dejo un enlace:

http://php.net/manual/es/ref.pdo-mysql.php

cafu3000 · #7 (**permalink**) 08/05/2013, 09:48

Cita:

Iniciado por bulter

Lo que quiere decir patrick_ que nunca te debes de fiar al usurio, siempre tienes que asumir que lo que te pasa el user es malo para tu script.

ejemplo:
Formulario al usuario: ( le pides el nombre )

Código PHP:

  Type your name here: <input type="text" name="data" />

Resultado: (le dices hola)

Código PHP:

  echo "Hola " . $_POST["data"];

Pues, el usuario debe de poner por ejemplo Pepito, pero igual puede poner

Código PHP:

  <script>alert("xss injection");</script>

( que por cierto es lo de menos :D ) Esto es una entrada mala para tu codigo y la tienes que evitar la, es decir filtrar y comprobar la entrada. En el caso de un nombre $_POST["data"] debe de contener solo letras y si hay apellidos espacios. En caso de edad $_POST["age"] debe de ser integer etc.

Código PHP:

  $age = (int)$_POST["age"]; 
preg_match("/^[a-zA-Z-\s]*/", $_POST["name"], $name); 
 
echo "Hi, " . $name[0] . ". You are " . $age . " years old";

esto es un ejemplo. Otro seria:

Código PHP:

  $age = (int)$_POST["age"]; 
$name = htmlspecialchars(trim(addslashes($_POST["name"]))); 
 
echo "Hi, " . $name[0] . ". You are " . $age . " years old";

Muchas gracias Bulter, y dime..esa especificacion debo hacer ara cada una de las variables de mi formulario que son :

Código:

    $rut = $_POST['rut'];
	$razonsocial  = $_POST['razonsocial'];
	$direccion1 = $_POST['direccion1'];
	$nombrecomercial = $_POST['nombrecomercial'];
	$giro = $_POST['giro'];
	$numero = $_POST['numero'];
	$depto = $_POST['depto'];
	$comuna = $_POST['comuna'];
	$ciudad = $_POST['ciudad'];
	$telefono = $_POST['telefono'];
	$web = $_POST['web'];

bulter · #8 (**permalink**) 08/05/2013, 09:58

Si, para todo.
Lee te primero algo de RegExp, htmlspecialchars, variable types , no puedes ir asi sin leer , es decir lo tienes que entender, no que te lo haga otro. Tienes que saber cada variable que debe de contener/guardar y comprobar si el valor indicado es correcto.

Por ejemplo los telefonos deben de empezar por 6,7 o 9 y tener 9 numeros:

Código PHP:

  preg_match("/^[6|7|9|][0-9]{8}$/", $_POST['telefono'], $outTel);

La razon social creo que puede contener varios caracteres asi que:

Código PHP:

  $razonsocial  = htmlspecialchars(trim(addslashes($_POST['razonsocial'])));

Numero ... bueno tiene que ser integer (supongo)

Código PHP:

  $numero = (int)$_POST['numero'];

Bueno el resto intenta averiguarlo tu. Pero te aconsejo que te leas algo...

cafu3000 · #9 (**permalink**) 08/05/2013, 10:05

Muchas gracias amigo..la ultima consulta y no te molesto mas.
mi formulario tiene dos paginas, en la primera se capturan los en datos con el formulario y los <imput form> y esta ne HTML
y en la segunda pagina declaro las variables e inserto los datos en la base.
con:
$sql="insert into dato2 (razonsocial, rut, direccion1, direccion2, nombrecomercial, giro)
$res=mysql_query($sql,$bd) or die (mysql_error());

En este parte de la inserción de datos tambien debo protegerme del ataque con algun script o con la proteccion en la declaracion de las variables es suficiente ??

saludos y mil gracias

bulter · #10 (**permalink**) 08/05/2013, 10:09

Claro. No puedes poner:

Código PHP:

  $sql="insert into dato2 (razonsocial, rut, direccion1, direccion2, nombrecomercial, giro) VALUES($_POST["razonsocial"], $_POST["rut"] ......)";

esto es suicida :D

Código PHP:

  $razonsocial  = htmlspecialchars(trim(addslashes($_POST['razonsocial'])));  

$sql="insert into dato2 (razonsocial, rut, direccion1, direccion2, nombrecomercial, giro) VALUES(" . $razonsocial . ", " . $_POST["rut"] . " ......)";

cafu3000 · #11 (**permalink**) 08/05/2013, 10:14

Mil gracias amigazo..
eres un grande.
slds