funcion para evitar xss sql injection

jqcod · #1 (**permalink**) 18/11/2011, 00:55

Hola
Mi pregunta es en relación al aporte que nos dejo GatorV en

http://www.forosdelweb.com/f18/funci...5/#post3497564

Entiendo que sirve para xss pero si los campos del formulario finalmente van a entrar en la base de datos mi pregunta es si primero el dato recibido por $_POST debe pasar el filtro de la función xss y luego hacerse un mysql_real_escape_string.

Si es así y si es preferible reforzar mysql_real_escape_string con otras funciones agradecería aportes.

saludos

jqcod · #2 (**permalink**) 18/11/2011, 12:03

¿alguien puede aclararme?.....gracias

#3 (**permalink**) 18/11/2011, 12:17

yo le pondria striplashes o addslashes antes

addlashes($_POST['ejemplo']) para escapar los datos y luego el mysql_real_scape_string

mas funciones que puedes combinar

addlashes = añade barras invertidas escapa datos mysql
striplashes =kita barras invertidas escapa datos mysql

para retirar php y hmtl del string usa strip_tags()
para convertir html del string usa htmlentities() o htmlspecialchars()
strtolower todo a minusculas strtolower()
trim() kitaespacios

jqcod · #4 (**permalink**) 19/11/2011, 02:32

Ok ..luego entre las funciones de php (strip_tags, stripslahes,...) y la del aporte de GatorV entiendo que esta segunda debe ser mas segura para xss pero no se si debe cargar mucho al interprete php en caso de tener muchos campos en un formulario

como lo ves?
gracias

#5 (**permalink**) 20/11/2011, 12:18

si el aporte de gatorv te funciona puedes combinar ambos y ampliar tu seguridad , lo de gatorv es para evitar xss en todos los campos que el usuario use para introducir cualquier texto y evitar que añadan codigo malicioso , pero para base de datos php en su manual dice que hay que hacer un addslashes , stripslashes y mysql_real_scape_string , puedes combinar lo de gatorv y las funcones de php y luego un mysql_real_scape_string . y lo de los formularios no se si cargara mucho yo lo que recomiendo es usar solo las funciones que necesites es decir para un campo de solo numeros hago un int() y si no kiero que añadan nada de codigo html o php le añado tambien struip_tags y si solo lo kiero en minusculas añado strtolower y si kiero retirar espacios añado trim() , segun el campo hago unas cosas u otras y si ademas ese campo va guardado en bd le ago un stripslashes y luego un mysql_real_scape_string mas o menos eso es lo que yo hago , si tienes mas dudas aki estoy

jqcod · #6 (**permalink**) 20/11/2011, 23:19

Aclarado gracias voy a implementarlo si tengo nuevas dudas vuelvo a postear.
saludos

abimaelrc · #7 (**permalink**) 21/11/2011, 08:22

Yo a esa función/método le añadí esta otra función/método para evitar que insertaran html

Código PHP:

Ver original<?php
class Filter_Xss
{
    /**
     * Remove XSS attacks that came in the input
     *
     * Function taken from:
     * http://quickwired.com/smallprojects/php_xss_filter_function.php
     * and alter to use in application
     *
     * @param string $value The value to filter
     * @return string 
     */
    public function filterXss($params, $returnStr = false)
    {
        $params = is_array($params) ? $params : array($params);
 
        foreach($params as $key => $val){
            if(!is_array($val)){
                /**
                 * remove all non-printable characters. CR(0a) and LF(0b) and TAB(9) are allowed
                 * this prevents some character re-spacing such as <java\0script>
                 * note that you have to handle splits with \n, \r, and \t later since
                 * they *are* allowed in some inputs
                 */
                $val = preg_replace('/([\x00-\x08][\x0b-\x0c][\x0e-\x20])/', '', $val);
 
                /**
                 * straight replacements, the user should never need these since they're normal characters
                 * this prevents like 
                 * <IMG SRC=&#X40&#X61&#X76&#X61&#X73&#X63&#X72&#X69&#X70&#X74&#X3A&#X61&#X6C&#X65&#X72&#X74&#X28&#X27&#X58&#X53&#X53&#X27&#X29>
                 */
                $search = 'abcdefghijklmnopqrstuvwxyz';
                $search .= 'ABCDEFGHIJKLMNOPQRSTUVWXYZ';
                $search .= '1234567890!@#$%^&*()';
                $search .= '~`";:?+/={}[]-_|\'\\';
                for($i = 0; $i < strlen($search); $i++){
                    /**
                     * ;? matches the ;, which is optional
                     * 0{0,7} matches any padded zeros, which are optional and go up to 8 chars
                     */
 
                    /**
                     * &#x0040 @ search for the hex values
                     */
                    $val = preg_replace('/(&#[x|X]0{0,8}'.dechex(ord($search[$i])).';?)/i', $search[$i], $val); // with a ;
                    /**
                     * &#00064 @ 0{0,7} matches '0' zero to seven times
                     */
                    $val = preg_replace('/(&#0{0,8}'.ord($search[$i]).';?)/', $search[$i], $val); // with a ;
                }
 
                /**
                 * now the only remaining whitespace attacks are \t, \n, and \r
                 */
                $ra1 = array(
                    'javascript', 'vbscript', 'expression', 'applet', 'meta', 'xml', 'blink', 'link',
                    'style', 'script', 'embed', 'object', 'iframe', 'frame', 'frameset', 'ilayer',
                    'layer', 'bgsound', 'title', 'base'
                );
                $ra2 = array(
                    'onabort', 'onactivate', 'onafterprint', 'onafterupdate', 'onbeforeactivate',
                    'onbeforecopy', 'onbeforecut', 'onbeforedeactivate', 'onbeforeeditfocus', 'onbeforepaste',
                    'onbeforeprint', 'onbeforeunload', 'onbeforeupdate', 'onblur', 'onbounce', 'oncellchange',
                    'onchange', 'onclick', 'oncontextmenu', 'oncontrolselect', 'oncopy', 'oncut',
                    'ondataavailable', 'ondatasetchanged', 'ondatasetcomplete', 'ondblclick', 'ondeactivate',
                    'ondrag', 'ondragend', 'ondragenter', 'ondragleave', 'ondragover', 'ondragstart', 'ondrop',
                    'onerror', 'onerrorupdate', 'onfilterchange', 'onfinish', 'onfocus', 'onfocusin', 'onfocusout',
                    'onhelp', 'onkeydown', 'onkeypress', 'onkeyup', 'onlayoutcomplete', 'onload', 'onlosecapture',
                    'onmousedown', 'onmouseenter', 'onmouseleave', 'onmousemove', 'onmouseout', 'onmouseover',
                    'onmouseup', 'onmousewheel', 'onmove', 'onmoveend', 'onmovestart', 'onpaste', 'onpropertychange',
                    'onreadystatechange', 'onreset', 'onresize', 'onresizeend', 'onresizestart', 'onrowenter',
                    'onrowexit', 'onrowsdelete', 'onrowsinserted', 'onscroll', 'onselect', 'onselectionchange',
                    'onselectstart', 'onstart', 'onstop', 'onsubmit', 'onunload'
                );
                $ra = array_merge($ra1, $ra2);
 
                $found = true; // keep replacing as long as the previous round replaced something
                while($found){
                    $val_before = $val;
                    for($i = 0; $i < sizeof($ra); $i++){
                        $pattern = '/';
                        for($j = 0; $j < strlen($ra[$i]); $j++){
                            if($j > 0){
                                $pattern .= '(';
                                $pattern .= '(&#[x|X]0{0,8}([9][a][b]);?)?';
                                $pattern .= '|(&#0{0,8}([9][10][13]);?)?';
                                $pattern .= ')?';
                            }
                            $pattern .= $ra[$i][$j];
                        }
                        $pattern .= '/i';
                        $replacement = substr($ra[$i], 0, 2).'<x>'.substr($ra[$i], 2); // add in <> to nerf the tag
                        $val = preg_replace($pattern, $replacement, $val); // filter out the hex tags
                        if($val_before == $val){
                            /**
                             * no replacements were made, so exit the loop
                             */
                            $found = false;
                        }
                    }
                }
            }
            $params[$key] = is_array($val) ? $this->filterXss($val) : $val;
        }
 
        return $returnStr ? $params[0] : $params;
    }
 
    /**
     * Remove XSS attacks and remove tags and extra white spaces
     * that came in the input before and after
     * 
     * @param string|array $params The value to filter
     * @param bool Set this if you want to return string value
     * @return string|array
     */
    public function realEscapeString($params, $returnStr = false)
    {
        /**
         * Check for XSS atacks
         */
        $params = $this->filterXss($params, $returnStr);
 
        $params = is_array($params) ? $params : array($params);
 
        foreach($params as $k => $v){
            /**
             * Recursive, re-send all values that are arrays
             */
            if(is_array($v)){
                $params[$k] = $this->realEscapeString($v);
                continue;
            }
            /**
             * Decode all hexadecimal values (urldecode and html_entity_decode)
             * Clean up all values (strip_tags)
             * Erase all white space before and after string (trim)
             */
            $params[$k] = urldecode($v);
            $params[$k] = html_entity_decode($params[$k]);
            $params[$k] = strip_tags($params[$k]);
            $params[$k] = trim($params[$k]);
        }
 
        return $returnStr ? $params[0] : $params;
    }
}
 
//Uso
$filter = new Filter_Xss();
$values = $filter->filterXss($_POST);
var_dump($values);
 
// Sin HTML
$filter = new Filter_Xss();
$values = $filter->realEscapeString($_POST);
var_dump($values);
 
 
// Filtrar un campo y devolver resultado tipo string
$filter = new Filter_Xss();
$values = $filter->filterXss($_POST['foo'], true);
var_dump($values);
 
// Sin HTML
$filter = new Filter_Xss();
$values = $filter->realEscapeString($_POST['foo'], true);
var_dump($values);

El segundo y tercer campo de realEscapeString son opcionales

efedefernan · #8 (**permalink**) 21/11/2011, 08:55

Una pequeña recomendación a todos para evitar los ataques de inyección sql es que os acostumbreis ha relizar todas las consultas a vuestras bases de datos parametrizadas.

Evitareis que los usuarios sean los responsables de generar codigo dentro de vuestrar consultas.

Un saludo.

abimaelrc · #9 (**permalink**) 21/11/2011, 11:19

Cita:

Iniciado por efedefernan

Una pequeña recomendación a todos para evitar los ataques de inyección sql es que os acostumbreis ha relizar todas las consultas a vuestras bases de datos parametrizadas.

Evitareis que los usuarios sean los responsables de generar codigo dentro de vuestrar consultas.

Un saludo.

Eso es correcto, siempre es bueno usar por ejemplo PDO y prepare

#10 (**permalink**) 21/11/2011, 12:15

abimaelrc esta muy bien el urldecode strip_tags y tal pero a todos les pasa urldecode? .y el urlencode donde esta?

abimaelrc · #11 (**permalink**) 21/11/2011, 12:24

Lo hago para por si la persona escribe el hexadecimal %## de esa forma hago que muestre exactamente lo que representa exactamente

#12 (**permalink**) 21/11/2011, 12:26

yo el urlencode lo uso para pasar variables por la url y el url decode en la pagina de destino , tu donde lo usas?

abimaelrc · #13 (**permalink**) 21/11/2011, 12:29

Todo eso es para convertir al caracter que representa, urlencode no es necesario usar si sabes el hexadecimal es decir un espacio es %20 y así sucesivamente, no es obligatorio usar urlencode para usar urldecode.

#14 (**permalink**) 21/11/2011, 12:30

no digo eso digo q yo lo uso solamente para urls y te preguntaba q tu donde lo usabas na mas ya seq se pueden usar por separado

jqcod · #15 (**permalink**) 21/11/2011, 22:48

Buenas Abimaelrc,
Agradecerte tu intervención, indicarte que la aspiración de todo forero es
tener una aclaración a sus dudas por parte de uno de vosotros (lo que yo llamo cariñosamente "Los Bichos") puesto que denotan gran experiencia y nos muestran como manejar el código de la forma optima.

Pero por otro lado, y principalmente por falta de estudio (que intentemos ir compaginando), se nos siguen planteando dudas y aún y que nos gustaría evitar ser "cansinos" caémos en la tentación de que nos resuelvan nuestros problemas.

De tu aporte veo la clase Filter_Xss, veo los dos métodos declarados, no tengo muy claro que ocurre cuando posteriormente en su uso termina produciendose false, no me termino de entender si cuando lo utilizas $values = $filter->realEscapeString($_POST); aplica el filtro para todas las variables recibidas por $_post o bien para la que se solicita y ya cuando habláis de PDO y prepare me digo ¡¡ostias y si no controlo lo del PDO podré terminar mi proyecto sin tener que replantearlo!!, se que finalmente tendré que replanterlo pero necesito sacarlo y verle le cara, esperando tener tiempo posteriormente para vestirlo mejor...

En mis dudas no he querido ser concreto porque voy a intentar entenderlo por mi solito (soy de los del autoaprendizaje !que cosa mas dura!!!) y si no consigo salir para adelante os vuelvo a preguntar....en fin que solo quería daros las GRACIAS!!