website stats » Evitar Inyección SQL (II) | Solo Código |

Evitar Inyección SQL (II)

Escrito por J.F. el Jueves, 6 de Septiembre del 2007 a las 22:00

Una vez visto en qué consiste la Inyección SQL y cuales pueden ser sus graves consecuencias, vamos a explicar algunos métodos para evitar dicho peligro, mediante la implementación de diferentes métodos. En general daré soluciones en concreto para PHP, pero son aplicables a otro tipo de lenguajes como ASP o JSP, aunque también trataré de dar alguna pequeña ayuda para los que usen éstos lenguajes. Vamos allá en principio, con las soluciones para PHP:
Aunque hay varias formas de protegerse contra la Inyección SQL en PHP, yo tan sólo voy a recomendar una serie de reglas generales a seguir:

Utiliza siempre las comillas simples (') para delimitar las variables que vayas a usar en una consulta a la base de datos. De esa manera la posibilidad de Inyección SQL se ve reducida de forma considerable:

TEXTO PLANO
SQL:
  1. SELECT usuario FROM indentificacion WHERE usuario= ' $usuario ';

Realiza las validaciones pertinentes para verificar el tipo que debe tener una variable. Ésto puedes realizarlo en el lado del cliente mediante el uso de Javascript, o bien por parte del servidor utilizando PHP. Aunque Javascript es recomendable, no puede ser 100% eficiente, por lo que es recomendable realizar siempre la validación al menos en el lado del servidor, y nunca depender unicamente de Javascript. Es decir, si en un campo esperas obtener un número, comprueba que sea un número, no confíes en el "buen hacer" del usuario. Para ello puedes utiizar en PHP la función gettype(), que devuelve el tipo de la variable.
Evita el uso del operador asterisco (*), si deseas obtener 2 campos de una tabla, a pesar de que dicha tabla no contenga más que esos 2 campos trata de evitar el uso del asterisco(*). Imagina que posteriormente a la tabla sobre la que realizas una consulta se le añaden nuevos campos, estarías cargando información que no es encesaria, y dichos datos que no son utilizados para nada podrían ser obtenidos mediante una Inyección SQL. Además, seleccionar campos que no vas a utilizar posteriormente es aumentar el uso de memoria y de banda ancha del servidor, ralentizando la aplicación.
Puede ser que tengamos configurado nuestro servidor para que cambie las comillas de las variables pasadas, según leo en ProgramaciónWeb.net ejecutando el siguiente código podremos saber si nuestro servidor tiene activado dicho nivel de seguridad en función del mensaje mostrado en pantalla:

TEXTO PLANO
PHP:
  1. <?
  2. if(!isset($_GET["inyeccion"])){
  3.  header("location: ?inyeccion='");
  4. } else {
  5.  echo 'Tu servidor ';
  6.  if($_GET["inyeccion"] != "'")echo 'no ';
  7.  echo 'tiene problemas de inyección';
  8. }
  9. ?>


Si la prueba dice que somos vulnerables, quiere decir que la comilla simple(') no es cambiada por (\'). Para solucionar éste hecho proponen el siguiente script para "limpiar" las variables pasadas tanto por URL como por formulario:
inyeccion.php

TEXTO PLANO
PHP:
  1. <?
  2. // Evitamos la inyeccion SQL
  3.  
  4. // Modificamos las variables pasadas por URL
  5. foreach($_GET as $variable=>$valor){
  6.    $_GET[$variable] = str_replace("'","\'",$_GET[$variable]);
  7. }
  8. // Modificamos las variables de formularios
  9. foreach($_POST as $variable=>$valor){
  10.    $_POST[$variable] = str_replace("'","\'",$_POST[$variable]);
  11. }
  12. ?>

Luego tan sólo será necesario incluir el fichero en toda página que realicemos querys contra la base de datos:

TEXTO PLANO
PHP:
  1. <?
  2. // Evitamos la inyeccion SQL
  3. include 'inyeccion.php';
  4. //
  5. // Contenido de la página PHP
  6. //
  7. ?>

Éste método es totalmente válido, aunque más tarde veremos otros métodos que yo al menos prefiero y son más eficaces.
Otro consejo, en éste caso de caracter general, es utilizar un único usuario para realizar todo tipo de consultas, y no utilizar como mucha gente hace el usuario root(administrador de la base de datos), ya que la que se puede armar es gorda.
La función que recomiendo, siempre que estemos programando en PHP y utilicemos la base de datos MySQL(es bastante común) es mysql_real_escape_string($parametro), que corrije la inserción de caracteres que puedan dar lugar a Inyección SQL, dejando "limpia" la variable que le pasamos. Aquí teneis un ejemplo tal y como indica la Wikipedia:

TEXTO PLANO
SQL:
  1. $query_result = mysql_query
  2.   (
  3.         "SELECT * FROM usuarios WHERE nombre = \""
  4.     .
  5.         mysql_real_escape_string($nombre_usuario)
  6.     .
  7.         "\""
  8.    );

Por último no debemos olvidar mencionar la función get_magic_quotes_gpc(), que se utiliza también para el filtrado de comillas. Según propone Mis-Algoritmos aquí teneis una función para filtrar una cadena antes de emplearle en la consulta contra la base de datos. La función en cuestión es la siguiente:

TEXTO PLANO
PHP:
  1. function sql_quote($value){
  2.         if(get_magic_quotes_gpc())
  3.         $value = stripslashes($value);
  4.        
  5.         //check if this function exists
  6.         if(function_exists("mysql_real_escape_string"))
  7.                 $value = mysql_real_escape_string( $value );
  8.             else//for PHP version <4.3.0 use addslashes
  9.                 $value = addslashes( $value );
  10.        
  11.         return $value;
  12.     }

La forma de utilizarla, según el propio autor comenta es la siguiente:

TEXTO PLANO
PHP:
  1. $password = sql_quote($_POST['password']);
  2. $query = mysql_query("SELECT * FROM usuarios WHERE usuario='admin' AND password='$password');

Como vemos utiliza bien el entrecomillado en las variables, pero recordemos que debemos evitar el uso del asterisco (*) en medida de lo posible.
Dejando de lado PHP en concreto, también podemos utilizar la función replace de Visual Basic para eliminar caracteres no deseados. Un ejemplo de Maestros del Web.

TEXTO PLANO
Visual Basic:
  1. SSQL= "SELECT count(*) FROM Usuarios WHERE Usuario = '" & ReplacetxtUsuario.Text, "’", "”") & "’ AND password=’" & Replace(txtPassword.Text, "’", "”") & "’"

Según comentan en Maestros del Web, otra solución definitiva sería crear un procedimiento almacenado, de modo que la inyección SQL queda anulada. Proponen el siguiente código:

CREATE Procedure Validar @usuario varchar(50), @password varchar(50)
ASIf (SELECT Count(*) FROM Usuarios WHERE Usuario=@Usuario and Password=@password)>0Return 1Return 0

Para Java, según la Wikipedia de nuevo, deberemos utilizar la clase PreparedStatement:
En lugar de

TEXTO PLANO
JAVA:
  1. Connection con = (acquire Connection)
  2. Statement stmt = con.createStatement();
  3. ResultSet rset = stmt.executeQuery("SELECT * FROM usuarios WHERE nombre = '" + nombreUsuario + "';");

deberemos utilizar:

TEXTO PLANO
JAVA:
  1. Connection con = (acquire Connection)
  2. PreparedStatement pstmt = con.prepareStatement("SELECT * FROM usuarios WHERE nombre = ?");
  3. pstmt.setString(1, nombreUsuario);
  4. ResultSet rset = pstmt.executeQuery();

Con ésta serie de procedimientos doy por revisado algunos consejos generales y algunos métodos para evitar la Inyección de SQL en distintos tipos de lenguajes. Hay muchas más funciones y scripts por Internet que se adecuarán mejor o peor en función de tu situación específica, asi que si crees que con lo visto en éste artículo no hay suficiente no dudes en seguir buscando por Internet. Para terminar, mañana veremos algunas herramientas y métodos para buscar vulnerabilidades en nuestro código SQL, además de algunos cuantos enlaces sobre el tema que nos vendrán de perlas.

Categoria: General

6 Comentarios

Entradas relacionadas


Comentario de PerroVerd

Realizado el Viernes, 7 de Septiembre del 2007 a las 18:02

Una forma más sencilla de evitar la inyección en PHP, al menos si tenemos la versión 5, es usar las librerías estándar PDO y sus ¿sentencias preparadas? (prepared statements). http://es.php.net/pdo

Comentario de J.F.

Realizado el Viernes, 7 de Septiembre del 2007 a las 19:09

Muchas gracias por el apunte, conocía otra librería que olvidé postear(http://pear.php.net/package/DB), pero ésta no.
Un saludo.

Comentario de Marcelo

Realizado el Miércoles, 7 de Noviembre del 2007 a las 20:19

muchas gracias!, es buenos saber que existe lugares donde uno comparte su conocimiento y asi avanzamos en la construccion del conocimiento de cada uno de nosostros.

Comentario de J.F.

Realizado el Sábado, 10 de Noviembre del 2007 a las 14:05

Claro amigo, ésta es la gracia de Internet. Compartir ;-)
Saludos.

Comentario de Luis

Realizado el Miércoles, 13 de Febrero del 2008 a las 1:46

Se os ha olvidado indicar que mysql_real_escape_string() no filtra los comodines en caso de trabajar con el comparador de cadenas LIKE. Me estoy refiriendo al simbolo del tanto por ciento (%) y el guion inferior (_). No permiten inyectar SQL, pero en caso de búsquedas, permite al usuario malintencionado lanzar consultas más genéricas, con el impacto que ello pueda tener en el rendimiento.

Harina de otro costal es el uso del LIKE en las búsquedas existiendo las búsquedas a texto completo (fulltext), pero esa ya es otra historia.

Comentario de J.F.

Realizado el Lunes, 18 de Febrero del 2008 a las 17:19

Gracias por el apunte Luis ;-)
Un saludo.
Escribir un comentario

Puedes usar las siguientes etiquetas HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <code> <em> <i> <strike> <strong>

Solo Código

Solo Código es una colección de códigos de todo tipo que pueden resultar útiles para el diseño de páginas web. Está enfocado tanto para aquellos que son expertos, como para aquellos principiantes que quieren encontrar recursos útiles, o no saben implementar determinadas funciones en sus webs. No olvides que Solo Código es un blog de Informática Práctica, donde tenemos otras secciones interesantes como:
| Tutoriales | Trucos | Software | Links | Buscar |