Evitar Inyección SQL (II)

Escrito por J.F. el Thursday, 6 de September del 2007 a las 22:00

Una vez visto en qué consiste la Inyección SQL y cuales pueden ser sus graves consecuencias, vamos a explicar algunos métodos para evitar dicho peligro, mediante la implementación de diferentes métodos. En general daré soluciones en concreto para PHP, pero son aplicables a otro tipo de lenguajes como ASP o JSP, aunque también trataré de dar alguna pequeña ayuda para los que usen éstos lenguajes. Vamos allá en principio, con las soluciones para PHP:
Aunque hay varias formas de protegerse contra la Inyección SQL en PHP, yo tan sólo voy a recomendar una serie de reglas generales a seguir:

Utiliza siempre las comillas simples (') para delimitar las variables que vayas a usar en una consulta a la base de datos. De esa manera la posibilidad de Inyección SQL se ve reducida de forma considerable:

TEXTO PLANO

SQL:

1. SELECT usuario FROM indentificacion WHERE usuario= ' $usuario ';

Realiza las validaciones pertinentes para verificar el tipo que debe tener una variable. Ésto puedes realizarlo en el lado del cliente mediante el uso de Javascript, o bien por parte del servidor utilizando PHP. Aunque Javascript es recomendable, no puede ser 100% eficiente, por lo que es recomendable realizar siempre la validación al menos en el lado del servidor, y nunca depender unicamente de Javascript. Es decir, si en un campo esperas obtener un número, comprueba que sea un número, no confíes en el "buen hacer" del usuario. Para ello puedes utiizar en PHP la función gettype(), que devuelve el tipo de la variable.
Evita el uso del operador asterisco (*), si deseas obtener 2 campos de una tabla, a pesar de que dicha tabla no contenga más que esos 2 campos trata de evitar el uso del asterisco(*). Imagina que posteriormente a la tabla sobre la que realizas una consulta se le añaden nuevos campos, estarías cargando información que no es encesaria, y dichos datos que no son utilizados para nada podrían ser obtenidos mediante una Inyección SQL. Además, seleccionar campos que no vas a utilizar posteriormente es aumentar el uso de memoria y de banda ancha del servidor, ralentizando la aplicación.
Puede ser que tengamos configurado nuestro servidor para que cambie las comillas de las variables pasadas, según leo en ProgramaciónWeb.net ejecutando el siguiente código podremos saber si nuestro servidor tiene activado dicho nivel de seguridad en función del mensaje mostrado en pantalla:

TEXTO PLANO

PHP:

1. <?
2. if(!isset($_GET["inyeccion"])){
3.  header("location: ?inyeccion='");
4. } else {
5.  echo 'Tu servidor ';
6.  if($_GET["inyeccion"] != "'")echo 'no ';
7.  echo 'tiene problemas de inyección';
8. }
9. ?>

Si la prueba dice que somos vulnerables, quiere decir que la comilla simple(') no es cambiada por (\'). Para solucionar éste hecho proponen el siguiente script para "limpiar" las variables pasadas tanto por URL como por formulario:
inyeccion.php

TEXTO PLANO

PHP:

1. <?
2. // Evitamos la inyeccion SQL
3.  
4. // Modificamos las variables pasadas por URL
5. foreach($_GET as $variable=>$valor){
6.    $_GET[$variable] = str_replace("'","\'",$_GET[$variable]);
7. }
8. // Modificamos las variables de formularios
9. foreach($_POST as $variable=>$valor){
10.    $_POST[$variable] = str_replace("'","\'",$_POST[$variable]);
11. }
12. ?>

Luego tan sólo será necesario incluir el fichero en toda página que realicemos querys contra la base de datos:

TEXTO PLANO

PHP:

1. <?
2. // Evitamos la inyeccion SQL
3. include 'inyeccion.php';
4. //
5. // Contenido de la página PHP
6. //
7. ?>

Éste método es totalmente válido, aunque más tarde veremos otros métodos que yo al menos prefiero y son más eficaces.
Otro consejo, en éste caso de caracter general, es utilizar un único usuario para realizar todo tipo de consultas, y no utilizar como mucha gente hace el usuario root(administrador de la base de datos), ya que la que se puede armar es gorda.
La función que recomiendo, siempre que estemos programando en PHP y utilicemos la base de datos MySQL(es bastante común) es mysql_real_escape_string($parametro), que corrije la inserción de caracteres que puedan dar lugar a Inyección SQL, dejando "limpia" la variable que le pasamos. Aquí teneis un ejemplo tal y como indica la Wikipedia:

TEXTO PLANO

SQL:

1. $query_result = mysql_query
2.   (
3.         "SELECT * FROM usuarios WHERE nombre = \""
4.     .
5.         mysql_real_escape_string($nombre_usuario)
6.     .
7.         "\""
8.    );

Por último no debemos olvidar mencionar la función get_magic_quotes_gpc(), que se utiliza también para el filtrado de comillas. Según propone Mis-Algoritmos aquí teneis una función para filtrar una cadena antes de emplearle en la consulta contra la base de datos. La función en cuestión es la siguiente:

TEXTO PLANO

PHP:

1. function sql_quote($value){
2.         if(get_magic_quotes_gpc())
3.         $value = stripslashes($value);
4.        
5.         //check if this function exists
6.         if(function_exists("mysql_real_escape_string"))
7.                 $value = mysql_real_escape_string( $value );
8.             else//for PHP version <4.3.0 use addslashes
9.                 $value = addslashes( $value );
10.        
11.         return $value;
12.     }

La forma de utilizarla, según el propio autor comenta es la siguiente:

TEXTO PLANO

PHP:

1. $password = sql_quote($_POST['password']);
2. $query = mysql_query("SELECT * FROM usuarios WHERE usuario='admin' AND password='$password');

Como vemos utiliza bien el entrecomillado en las variables, pero recordemos que debemos evitar el uso del asterisco (*) en medida de lo posible.
Dejando de lado PHP en concreto, también podemos utilizar la función replace de Visual Basic para eliminar caracteres no deseados. Un ejemplo de Maestros del Web.

TEXTO PLANO

Visual Basic:

1. SSQL= "SELECT count(*) FROM Usuarios WHERE Usuario = '" & ReplacetxtUsuario.Text, "’", "”") & "’ AND password=’" & Replace(txtPassword.Text, "’", "”") & "’"

Según comentan en Maestros del Web, otra solución definitiva sería crear un procedimiento almacenado, de modo que la inyección SQL queda anulada. Proponen el siguiente código:

CREATE Procedure Validar @usuario varchar(50), @password varchar(50)
ASIf (SELECT Count(*) FROM Usuarios WHERE Usuario=@Usuario and Password=@password)>0Return 1Return 0

Para Java, según la Wikipedia de nuevo, deberemos utilizar la clase PreparedStatement:
En lugar de

TEXTO PLANO

JAVA:

1. Connection con = (acquire Connection)
2. Statement stmt = con.createStatement();
3. ResultSet rset = stmt.executeQuery("SELECT * FROM usuarios WHERE nombre = '" + nombreUsuario + "';");

deberemos utilizar:

TEXTO PLANO

JAVA:

1. Connection con = (acquire Connection)
2. PreparedStatement pstmt = con.prepareStatement("SELECT * FROM usuarios WHERE nombre = ?");
3. pstmt.setString(1, nombreUsuario);
4. ResultSet rset = pstmt.executeQuery();

Con ésta serie de procedimientos doy por revisado algunos consejos generales y algunos métodos para evitar la Inyección de SQL en distintos tipos de lenguajes. Hay muchas más funciones y scripts por Internet que se adecuarán mejor o peor en función de tu situación específica, asi que si crees que con lo visto en éste artículo no hay suficiente no dudes en seguir buscando por Internet. Para terminar, mañana veremos algunas herramientas y métodos para buscar vulnerabilidades en nuestro código SQL, además de algunos cuantos enlaces sobre el tema que nos vendrán de perlas.

Comentarios (7)

Categoria: General

• Añadir este post a
• Del.icio.us -
• Meneame -
• Digg -
• Webeame

Entradas relacionadas

Nombre (obligado)

E-mail (no sera publicado) (obligado)

Pagina web

Puedes usar las siguientes etiquetas HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>