[SOLUCIONADO] Evitar inyeccion SQL

TrinityCore · #1 (**permalink**) 17/11/2015, 16:36

Hola gente, espero esten bien.

Bueno, voy a tocar el tema de "Inyecciones SQL".
Se muy bien que muchos lo usan para cometer actos que no deben cometerse...

Pero bueno, el caso es.. que si no toco este tema entonces mi web sera muy vulnerable... y la verdad deseo evitar esto...

ASi que suponiendo que yo tenga este sistema de busqueda, tengo dos preguntas:

1- ¿Como es posible hacer una inyeccion sql en ese campo de texto?

2- ¿Como evitar dicha inyeccion?

¿Con el metodo para evitar la inyeccion de la pregunta dos, podria evitarla en todo tipo de codigo?, ya sea login, registro, busqueda, etc?

Código HTML:

<form method='post'>
<input type='text' name='producto'>
<input type='submit' name='buscar' value='Buscar Producto'>
</form>

Código PHP:

  <?php 
require('config.php'); 
mysqli_select_db($conexion,$productos)or die("Error al seleccionar la DB."); 
if(isset($_POST['buscar'])){ 
extract($_POST); 
$consultar_productos = mysqli_query($conexion,"SELECT * FROM productos WHERE nombre='$producto'")or die(mysqli_error($conexion)); 
$rconsultar_productos = mysqli_num_rows($consultar_productos); 
while($linea = mysqli_fetch_array($consultar_productos,MYSQL_ASSOC)){ 
$nombre = $linea['nombre']; 
$precio = $linea['precio']; 
$stock = $linea['stock']; 
echo $nombre."<br>"; 
echo $precio."<br>"; 
echo $stock."<br>"; 
} 
} 
?>

Espero me puedan ayudar y muchas gracias de antemano!

pateketrueke · #2 (**permalink**) 17/11/2015, 16:42

El primer error que cometes es construir la consulta de SQL a mano, a partir de ahí todo lo que hagas será un error tras otro si lo sigues haciendo igual.

Lo ideal es que uses PDO (o MySQLi) y sus prepared-statementes, básicamente un método llamado prepare() en ambas librerías.

Así evitas construir el SQL a mano y te evitas problemas de SQL-Injection.

Cualquier otra "solución" es pérdida de tiempo.

Knaak53 · #3 (**permalink**) 18/11/2015, 02:13

Cita:

Iniciado por pateketrueke

El primer error que cometes es construir la consulta de SQL a mano, a partir de ahí todo lo que hagas será un error tras otro si lo sigues haciendo igual.

Lo ideal es que uses PDO (o MySQLi) y sus prepared-statementes, básicamente un método llamado prepare() en ambas librerías.

Así evitas construir el SQL a mano y te evitas problemas de SQL-Injection.

Cualquier otra "solución" es pérdida de tiempo.

Realmente solo con eso evitas toda inyección sql posible?, no he tocado apenas ese tema, pero me sorprende bastante, que hace esa función exactamente y como funciona para hacer eso posible sin ninguna otra medida?

pateketrueke · #4 (**permalink**) 18/11/2015, 10:07

Cita:

Iniciado por Knaak53

Realmente solo con eso evitas toda inyección sql posible?, no he tocado apenas ese tema, pero me sorprende bastante, que hace esa función exactamente y como funciona para hacer eso posible sin ninguna otra medida?

Sí, efectivamente.

No necesitas nada más que "preparar" las consultas para evitar inyecciones.

TrinityCore · #5 (**permalink**) 20/11/2015, 14:32

Cita:

Iniciado por pateketrueke

Sí, efectivamente.

No necesitas nada más que "preparar" las consultas para evitar inyecciones.

Si, no se a que te refieres con "Preparar la consulta a mano"...

Podrias darme un ejemplo con el codigo que he puesto?
Asi yo podria orientarme...

Gracias de antemano.

pateketrueke · #6 (**permalink**) 20/11/2015, 14:47

Cita:

Si, no se a que te refieres con "Preparar la consulta a mano"...

A esto me refiero:

Código PHP:

Ver original$x = $_POST['y'];
 
// esto significa "preparar la consulta a mano"
$sql = "SELECT * FROM table WHERE value = '$x'";

TrinityCore · #7 (**permalink**) 22/11/2015, 08:39

Cita:

Iniciado por pateketrueke

A esto me refiero:

Código PHP:

Ver original$x = $_POST['y'];
 
// esto significa "preparar la consulta a mano"
$sql = "SELECT * FROM table WHERE value = '$x'";

Seria mucha molestia mostrar la manera correcta de hacerlo para comenzar a editar todos mis codigos??

Te agradeceria

xfxstudios · #8 (**permalink**) 22/11/2015, 08:59

podria ser algo asi:

Código PHP:

Ver original//preparamos la sentencia
$q = $db->prepare("INSERT INTO tabla (campoA, campoB) VALUES (?,?)");
$q->bind_param("ss", $datoA, $datoB);
 
//recogemos los datos
 
$datoA = $_post['datoA'];
$datoB = $_post['datoB'];
 
//ejecutamos la sentencia y la cerramos
$q->execute();
$q->close();

seria algo asi mas o menos

pilucho · #9 (**permalink**) 22/11/2015, 10:44

Te Felicito xfxstudios

Por los ejemplos que das, yo aprendo siempre de ese modo e intento aprender lento lento

Por que eso de 'Auto te lleva al mundial = 'Yet .... avion te lleva mas rapido, y fijate si esta prendido tu computadora,.. etc... son preguntas que uno se formula antes de pedir ayuda, pero con ejemplos uno va teniendo major una idea o una pista de como hacer las cosas.

Bueno a mi si me agrado este ejemplo usando VALUES (?,?) y no VALUES ('$campoA', '$campoB')