Prevención de SQLi

Iniciado por Castg!, 21 Febrero 2011, 06:19 AM

0 Miembros y 1 Visitante están viendo este tema.

Castg!

Simple mi pregunta:
Basta con, al momento de hacer una consulta a la bbdd, encerrar el valor a buscar/insertar con comillas y escapar las mismas en el contenido? Un simple simple ejemplo para dejarlo mas claro:
Código (php) [Seleccionar]
$toQuery='pass \' OR \'1\'=\'1';
mysql_query("SELECT * FROM user_tables WHERE user='admin' AND pass=' ".htmlspecialchars($toQuery, ENT_QUOTES);." ' ");


Hay forma de escapar la consulta para inyectar codigo? Qué diferencia hay entre htmlspecialchars() y htmlentities()? Qué caracteres escapa mysql_real_escape_string(), únicamente las comillas o algo mas?

~ Yoya ~

Lo que se intenta en SQLI es manipular la consulta SQL.

Debes encerrar el valor entre comillas y escapar los caracteres especiales del contenido, de forma que no se pueda manipular la consulta. Osea si encierra el valor entre comillas, la única forma de manipular la consulta seria salir de la consulta actual y luego ingresar tu consulta SQL, pero en este caso para salir es necesario utilizar una comilla pero la comilla se escapa para que no se pueda manipular la consulta.

Muchas personas cometen este error:
Código (php) [Seleccionar]
<?php
 
$id 
mysql_real_escape_string($_GET['id']);
 
mysql_query("SELECT titulo, autor, contenido FROM noticias WHERE id = ".$id);
 
?>


Con un espacio puedes salir de la consulta actual y insertar otra consulta SQL. Ya que mysql_real_escape_string(), no escapa el espacio.

Caracteres que escapa mysql_real_escape_string
Cita de: php.netmysql_real_escape_string() llama la función de la libreria de MySQL mysql_real_escape_string, la cual antepone backslashes a los siguientes caracteres: \x00, \n, \r, \, ', " y \x1a.



htmlspecialchars()
CitarCiertos caracteres tienen significados especiales en HTML, y deben ser representados por entidades HTML si se desea preservar su significado. Esta función devuelve una cadena con dichas conversiones realizadas, que por defecto son las mas habituales para la programación web. Si se requiere traducir todas las entidades HTML, se debe emplear la función htmlentities().

htmlentities()
CitarEsta función es identica en todo a htmlspecialchars(), excepto que con htmlentities(), todos los caracteres que tengan una entidad equivalente en HTML serán cambiados a esas entidades.



Saludos.
Mi madre me dijo que estoy destinado a ser pobre toda la vida.
Engineering is the art of balancing the benefits and drawbacks of any approach.

Castg!

Voy bien entonces! Gracias yoya, ya entiendo un poco más!