Funcion Anti SQL Injection [PHP,ExpReg.]

izrrah · #1 (**permalink**) 21/01/2010, 15:34

Hola a todos, necesito implementar en el servidor de la empresa una funcion que evite las inyecciones SQL XSS y otras cosas potencialmente peligrosas...
Ya tengo lo siguiente:

Código PHP:

  function AntiSQLi($variable) { 
$inyecciones  = 'union|\/\*\*\/|having|select|and|order|group|insert|\;|0x|\..\/|document\.|\.(php|asp|cfm|txt|html|htm|doc)|shadow|'; 
$expreg = "/(?:".$inyecciones.")/i"; 
if (preg_match_all($expreg,urldecode($variable),$encontrado)) { echo '<h3>Tu acceso ha sido bloqueado.</h3>'; $hacking=true; // Email al webmaster + Banear al usuario } 
}

Esa funcion se la paso a todas las variables que puedan venir en un llamado a la pagina con por ejemplo esto otro:

Código PHP:

  foreach($_REQUEST as $variable=>$valor){  
$found = AntiSQLi($_REQUEST[$variable]); 
}

Entonces hasta ahi esta bien, pero necesito validar con expresiones regulares lo siguiente $inyecciones = 'having|select|and|order|group|'; y que despues de cada sub patron venga necesariamente uno de los siguiente signos: / o + o un espacio en blanco o su equivalente en codigo ASCII, me hago entender ???
el slash me lo toma pero no el signo +, incluso escapandolo con el backslash asi: \+ y el espacio en blanco no se como pedirlo con expresiones regulares...

Muchas Gracias de antemano

jackson666 · #2 (**permalink**) 21/01/2010, 17:24

Y porque no usas mysql_real_escape_string()????
Si queres hallar esas palabras la expresion regular seria algo asi creo

Código PHP:

Ver original/\bselect\b/i
/\border\b/i
/\bgroup\b/i
// Y asi con las demas

Para quitar los espacios en blanco si no me equivoco existe la funcion trim()

pateketrueke · #3 (**permalink**) 21/01/2010, 22:02

además, no se me hace justo que elimines texto de la entrada..

imaginemos que el texto que vamos a "escapar" contiene código SQL, pues dicha función arruinaría todo el sentido...

prevenir un ataque de SQL no es eliminar porciones de texto deliberadamente, sino que que se trata de limpiar la entrada, pero eso no quiere decir "eliminar" la información...

vamos, tan solo hay que escapar los caracteres débiles en cuanto a seguridad... no mas!! (:

izrrah · #4 (**permalink**) 22/01/2010, 06:12

jackson666 Muchas gracias, me funciono como queria con /\bselect\b/i , ah y la funcion mysql_real_escape_string() no es totalmente segura y ademas no me da los resultados que yo deseo.

pateketrueke Tienes mucha razon, sin embargo, debes saber que mi intencion no es eliminar esas palabras claves de las variables sino que a partir de la deteccion de intento de inyeccion pueda enviar un correo al webmaster, guardar en base de datos y banear al usuario o IP.
Es un sistema de auditoria de seguridad de una aplicacion Web.
Y eso de que se pueda pasar consulta SQL por medio de una variable no me parece para nada, incluso creo que cae en las malas practicas de un Programador, es como dejar una Inyeccion SQL con intencion, posibilitando al atacante realizar consultas sin impedimento alguno.

de todas maneras gracias por sus comentarios.
Saludos

oVuzZ · #5 (**permalink**) 29/05/2010, 20:34

Cita:

Iniciado por izrrah

jackson666 Muchas gracias, me funciono como queria con /\bselect\b/i , ah y la funcion mysql_real_escape_string() no es totalmente segura y ademas no me da los resultados que yo deseo.

pateketrueke Tienes mucha razon, sin embargo, debes saber que mi intencion no es eliminar esas palabras claves de las variables sino que a partir de la deteccion de intento de inyeccion pueda enviar un correo al webmaster, guardar en base de datos y banear al usuario o IP.
Es un sistema de auditoria de seguridad de una aplicacion Web.
Y eso de que se pueda pasar consulta SQL por medio de una variable no me parece para nada, incluso creo que cae en las malas practicas de un Programador, es como dejar una Inyeccion SQL con intencion, posibilitando al atacante realizar consultas sin impedimento alguno.

de todas maneras gracias por sus comentarios.
Saludos

Hola izrrah podrias compartir la funcion completa de antisql con lo añadido de select group