PDO y la seguridad

zreep · #1 (**permalink**) 17/10/2013, 15:36

Estoy tratando de agregar un poco de seguridad en las consultas a la base de datos y tambien a la coneccion.

Estoy usando PDO que fue lo que me han recomendado usuario de este foro. Es por eso que comparto lo que hice y saber si me pueden ayudar con la funcion "prepare".

Gracias

Código PHP:

  try { 
    $con = new PDO('mysql:host=localhost;dbname=nombre','root','lapass'); 
    } 
catch (PDOException $e){ 
    echo "Failed to get DB handle: ".$e->getMessage().""; 
    exit; 
} 
 
$sql = "SELECT * FROM usuarios"; 
foreach ($con->query($sql) as $fila) {

Código HTML:

<?=$fila['nombre'];?><br />

Código PHP:

pateketrueke · #2 (**permalink**) 17/10/2013, 16:24

Pues no se ve por ningún lado que utilices el método prepare(), ¿o a qué te refieres? ¿el manual no es lo suficientemente claro?

zreep · #3 (**permalink**) 17/10/2013, 16:50

Ah, ya entendi... me daba error porque el objeto $con no estaba definido. Pero esto es mas seguro? Me gustaria saber tu opinion!

Gracias

Código PHP:

 
try { 
    $con = new PDO('mysql:host=localhost;dbname=nombre','root','lapass'); 
    } 
catch (PDOException $e){ 
    echo "Failed to get DB handle: ".$e->getMessage().""; 
    exit; 
} 
 
$sql = "SELECT * FROM usuarios"; 
$con->prepare($sql); 
foreach ($con->query($sql) as $fila) { 
 
<?=$fila['nombre'];?><br /> 
 
}

pateketrueke · #4 (**permalink**) 17/10/2013, 16:54

¿Seguro en qué sentido?

A simple vista la consulta es inofensiva, y usar prepare() la deja exactamente igual.

Sería grave si haces esto:

Código PHP:

Ver original$sql = "SELECT * FROM usuarios WHERE id =" . $_GET['id'];

Independientemente de si usas PDO o no, eso es grave.

No entiendo cual es tu duda entonces.

zreep · #5 (**permalink**) 17/10/2013, 17:01

Disculpa si no me exprese bien, lei PDO y estoy cambiando parte del codigo antes de subirlo a la web, lo que queria saber que tan seguro es y como puedo manegar el tema se seguridad?

xSkArx · #6 (**permalink**) 17/10/2013, 17:07

Puedes usar consultas parametrizadas

zreep · #7 (**permalink**) 17/10/2013, 17:18

Y las declaraciones preparadas reemplasan a mysqli_real_escape_string?

pateketrueke · #8 (**permalink**) 17/10/2013, 17:31

Cita:

Iniciado por zreep

Y las declaraciones preparadas reemplasan a mysqli_real_escape_string?

Así es, eso lo puedes consultar en el manual.

zreep · #9 (**permalink**) 17/10/2013, 17:55

La verdad que esto se pone interesante... Ahora voy a pregunta algo que no lo vi en el ejemplo.

antes, (je), estaba la consulta y pasaba esto:

Código PHP:

  $sql  = "SELECT * FROM tabla WHERE pepe='1'"; 
res  = mysqli_query($enlace,$sql) or die(mysqli_error($enlace)); 
$fila = mysqli_fetch_array($res);

pero ahora no se que hago mal

Código PHP:

  $pass = $_POST['user']; 
$sql  = sprintf("SELECT * FROM tabla WHERE pass='%s';",$pass); 
$con->prepare($sql); 
$fila....

y $fila es igual que? no lo puedo resolver...

pateketrueke · #10 (**permalink**) 17/10/2013, 17:59

Espera, esta linea de entrada está mal:

Código PHP:

Ver original$sql  = sprintf("SELECT * FROM tabla WHERE pass='%s';",$pass)

¿De qué sirve usar consultas preparadas si sigues pasando variables sin escapar?

Eso está mal, por favor revisa el manual del método prepare()

zreep · #11 (**permalink**) 17/10/2013, 18:04

Código PHP:

  $sql  = "SELECT * FROM usuarios WHERE pass='".$_POST['user']."'"; 
$con->prepare($sql);

Lo arregle... y el $fila o $row....?

pateketrueke · #12 (**permalink**) 17/10/2013, 18:10

Sigues sin entender.

El objetivo del método prepare() no es escapar toda la consulta, es preparar la consulta (de ahí el nombre) para insertar los valores a tiempo, y así se escapan automáticamente.

Del modo en que lo haces simplemente estás desperdiciando dicho uso, y por ende sigues teniendo fallas de seguridad.

¿Por qué no lees el manual?

Triby · #13 (**permalink**) 17/10/2013, 18:27

Revisa: http://www.forosdelweb.com/f18/aport...8/#post4265377

La parte final de ese mensaje contiene ejemplos de PDO.

andresdzphp · #14 (**permalink**) 17/10/2013, 19:26

Este manual muestra como lo hacías con mysql_* y como sería con PDO:

PDO Tutorial for MySQL Developers

zreep · #15 (**permalink**) 17/10/2013, 19:35

conn.php

Código PHP:

  try {
    $con = new PDO('mysql:host=localhost;dbname=base','root','passs');
    }
catch (PDOException $e){
    echo "Failed to get DB handle: ".$e->getMessage()."";
    exit;
}

index.php

Código PHP:

  session_start();
if(isset($_POST['enviar'])){
    if(!empty($_POST['user'])){       
        $sql  = "SELECT * FROM usuario WHERE pass='".$_POST['user']."'";
        foreach ($con->query($sql) as $fila){
            if($fila > 0)
            {
             $_SESSION['logueado'] = "SI";
             $_SESSION['usuario']  = $fila['nombre'];
            } else 
            {
             echo "<b style='color: red;'>Usuario incorrecto</b>";
            }
        }
    }
}

Gracias andresdzphp y pateketrueke, ya llegue a un punto en el cual estoy muy mareado. Ya nose que entiendo y que no... aca hice el codido y se que el foreach esta mal... pero la verdad ya nose lo que hice. Disculpenme, estoy leyendo lo que me paso Andres y el manual PDO, pero estoy confundido con todo y ya nose como resulver esto. Mi cabeza estallo!

andresdzphp · #16 (**permalink**) 17/10/2013, 19:53

Analiza bien este ejemplo:

Código PHP:

Ver original<?php
 
$stmt = $db->prepare("SELECT * FROM table WHERE id=:id AND name=:name");
$stmt->bindValue(':id', $id, PDO::PARAM_INT);
$stmt->bindValue(':name', $name, PDO::PARAM_STR);
$stmt->execute();
$rows = $stmt->fetchAll(PDO::FETCH_ASSOC);
 
foreach ($rows as $row) {
    //...
        //...
}

La idea es que prepares primero la consulta para que evites inyecciones SQL.

zreep · #17 (**permalink**) 18/10/2013, 15:28

Bueno gracias a todos, andresdzphp, Triby, pateketrueke por ayudar a este cabeza dura...

Por ultimo le muestro como me quedo el code:

Código PHP:

  try { 
    $con = new PDO('mysql:host=localhost;dbname=base','root','pas'); 
    } 
catch (PDOException $e){ 
    echo "Failed to get DB handle: ".$e->getMessage().""; 
    exit; 
}

Código PHP:

  session_start(); 
 
if(isset($_POST['enviar'])){ 
    if(!empty($_POST['user'])){ 
       $stmt = $con->prepare("SELECT * FROM usuario WHERE pass='".$_POST['user']."'"); 
       $stmt->execute(); 
       $fila = $stmt->fetch();        
            if($fila > 0){ 
             $_SESSION['logueado'] = "SI"; 
             $_SESSION['usuario']  = $fila['nombre']; 
            } else { 
                echo "<span style='color: red;'>Usuario incorrecto</span>"; 
            } 
    } 
}

Por otro lado no use "bindValue" por ahora, por que no lei eso.

Gracias nuevamente por todo.

pateketrueke · #18 (**permalink**) 18/10/2013, 15:37

Pero lo sigues haciendo mal, ¿qué parte no entiendes?

Código PHP:

Ver original// MAL
$stmt = $con->prepare("SELECT * FROM usuario WHERE pass='".$_POST['user']."'"); 
 
// BIEN
$stmt = $con->prepare("SELECT * FROM usuario WHERE pass=:pass");
$stmt->execute(array(':pass => $_POST['user']));

Si no lo haces de esa manera tus consultas seguirán siendo vulnerables, y entonces usar PDO sería una completa pérdida de tiempo y recursos.

zreep · #19 (**permalink**) 18/10/2013, 15:58

aaaaaaaaaaaaaaah, que boludo soy... y si me dices los mismo tienes razon, no me voy ofender.

Lo veo que parece facil, pero me esta constando mucho...

Código PHP:

  session_start(); 
 
if(isset($_POST['enviar'])){ 
    if(!empty($_POST['user'])){ 
       $stmt = $con->prepare("SELECT * FROM usuario WHERE pass=:pass"); 
       $stmt->execute(array(':pass'=>$_POST['user'])); 
       $fila = $stmt->fetch();        
            if($fila > 0){ 
             $_SESSION['logueado'] = "SI"; 
             $_SESSION['usuario']  = $fila['nombre']; 
            } else { 
                echo "<div style='color: red; text-align: center;'>Usuario incorrecto</div>"; 
            } 
    } 
}

Asi?