Seguridad en los Querys

morfasto · #1 (**permalink**) 07/11/2011, 12:22

Hola, que tal?

Estoy viendo la parte de la seguridad de mi pagina web, especificamente en la parte de los querys. Estuve leyendo sobre el tema y me parecio bastante interesante, pero sigo sin entender la manera de aplicarlo y el orden de aplicarlo.

Se que seria bueno utilizar varias funciones para acomodar los textos a introducir a la base de datos, para que no sean malignos y que no puedan obtener informacion para acceder con todos los privilegios a la base de datos.

Estas son algunas funciones que encontre que podrian servirme:
mysql_real_escape_string();
stripslashes();
get_magic_quotes_gpc();

Pero, en que momento debo de usarlas, cuando hago una consulta a la base de datos?, cuando hago un update a un registro de la base de datos?, cuando ingreso un registro a la base de datos?

Voy a poner un ejemplo de codigo que yo tengo para hacer una consulta, un update y un ingreso de registro nuevo.

Código PHP:

  <? 
//INGRESAR UN NUEVO REGISTRO: 
$password = md5($_POST['password']); 
$foto="IMG/cliente.png"; 
$registrar="INSERT INTO clientes (cliente_id, nombre, apellido, email, password, foto) 
VALUES 
('','$_POST[nombre]','$_POST[apellido]','$_POST[email]','$password','$foto')"; 
if (!mysql_query($registrar)) 
{ 
    die('Error: ' . mysql_error()); 
} 
 
//CONSULTA: 
(isset ($_GET['id']))? $id = $_GET['id'] : $id = NULL;   
$foto = "SELECT foto FROM clientes WHERE cliente_id = '$id'"; 
$foto = mysql_query($foto);  
while($rs=mysql_fetch_array($foto))  
{  
    echo      "<img src='".$rs['foto']."'>"; 
}  
 
//UPDATE DE UN REGISTRO: 
$update="UPDATE clientes SET nombre = '$_POST[nombre]', apellido = '$_POST[apellido]', email = '$_POST[email]' where cliente_id =  '$_SESSION[cliente]'"; 
if (!mysql_query($update)) 
{ 
    die('Error: ' . mysql_error()); 
} 
?>

De que manera necesito modificar mis querys para que dejen de ser inseguros?

Muchisimas gracias!

GatorV · #2 (**permalink**) 07/11/2011, 12:28

La regla es simple: nunca confies en el contenido que te envia el usuario, nunca. Cada que vayas a enviar una variable a la base de datos debes de escaparla y asegurarte que el tipo de dato que quieras enviar sea ese, si va a ser un número, haz un cast a un integer, si es una cadena de texto, escapala con mysql_real_escape_string, etc.

No es cuestión de cuando hagas un INSERT, si no es siempre que hagas una consulta a tu BDD.

Saludos.

morfasto · #3 (**permalink**) 07/11/2011, 13:25

Entonces si yo cambio mi codigo a esto:

Código PHP:

  <? 
//INGRESAR UN NUEVO REGISTRO: 
$password=mysql_real_escape_string($_POST['password']); 
$password=md5($password); 
$foto="IMG/cliente.png"; 
$nombre=mysql_real_escape_string($_POST['nombre']); 
$apellido=mysql_real_escape_string($_POST['apellido']); 
$email=mysql_real_escape_string($_POST['email']); 
$registrar="INSERT INTO clientes (cliente_id, nombre, apellido, email, password, foto) 
VALUES 
('','$nombre','$apellido','$email','$password','$foto')"; 
if (!mysql_query($registrar)) 
{ 
    die('Error: ' . mysql_error()); 
} 
 
//CONSULTA: 
(isset ($_GET['id']))? $id = $_GET['id'] : $id = NULL; 
 
$foto = "SELECT foto FROM clientes WHERE cliente_id = '$id'"; 
$foto = mysql_query($foto);  
while($rs=mysql_fetch_array($foto))  
{  
    echo      "<img src='".$rs['foto']."'>"; 
}  
 
//UPDATE DE UN REGISTRO: 
$nombre=mysql_real_escape_string($_POST['nombre']); 
$apellido=mysql_real_escape_string($_POST['apellido']); 
$email=mysql_real_escape_string($_POST['email']); 
$update="UPDATE clientes SET nombre = '$nombre', apellido = '$apellido', email = '$email' where cliente_id =  '$_SESSION[cliente]'"; 
if (!mysql_query($update)) 
{ 
    die('Error: ' . mysql_error()); 
} 
?>

Estaria mas seguro?

La verdad es que no entiendo bien como es que funciona real_scape_string() a pesar de haber leido el manual, alguien me podria explicar?

GatorV · #4 (**permalink**) 07/11/2011, 13:44

Así es, debes de escapar las variables que vayas a enviar a la base de datos, y para más seguridad se recomienda usar PDO, ya que puedes usar preparedstatements los cuales te dan más seguridad y más velocidad a la hora de interactuar con tu bdd.

Saludos.

morfasto · #5 (**permalink**) 07/11/2011, 14:54

Estuve intentando hacer que funcione con preparedstatements pero no logro hacerlo...

Este es mi codigo:

Código PHP:

  <? 
//CONECTAR CON LA BASE DE DATOS 
function conectarse($host,$usuario,$password,$BBDD){  
   $link=mysql_connect($host,$usuario,$password) or die (mysql_error());  
   mysql_select_db($BBDD,$link) or die (mysql_error());  
   return $link;  
}  
$link=conectarse("localhost","usuario","password","base_datos");   
 
//INGRESAR UN NUEVO REGISTRO: 
$stmt = $dbh->prepare("INSERT INTO clientes (nombre, apellido, email, password, foto) VALUES (?, ?, ? , ? , ?)"); 
$stmt->bindParam(1, $nombre); 
$stmt->bindParam(2, $apellido); 
$stmt->bindParam(3, $email); 
$stmt->bindParam(4, $password); 
$stmt->bindParam(5, $foto); 
 
$password=mysql_real_escape_string($_POST['password']); 
$password=md5($password); 
$foto="IMG/cliente.png"; 
$nombre=mysql_real_escape_string($_POST['nombre']); 
$apellido=mysql_real_escape_string($_POST['apellido']); 
$email=mysql_real_escape_string($_POST['email']); 
 
$stmt->execute(); 
?>

Que estoy haciendo mal?

GatorV · #6 (**permalink**) 07/11/2011, 16:04

Pues para empezar, tienes que usar PDO para conectarte a tu base de datos, en el código que expones usas la librería de MySQL.

Primero revisa y aprende la sintaxis de PDO y posteriormente intenta modificar tu código.

Saludos.

Uncontroled_Duck · #7 (**permalink**) 07/11/2011, 23:06

Hola, aquí tienes algunos ejemplos para hacer la conexión con la DB.

http://www.php.net/manual/es/ref.pdo-mysql.php#103501

Saludos,