Bienvenidos a mi blog personal aqui encontran temas de Programacion y Seguridad informatica tambien algunas cuantas tonterias xd

Evitar Inyeciones SQL en MySQL

Les enseñare como evitar inyeciones sql es sus scripts PHP

veamos un ejemplo de consulta a MySQL mediante PHP

<?php
/*
Sdndiego.com SQL Injection
*/
// ----- CONFIG -------
$dbhost = 'localhost';
$dbuser = 'root';
$dbpass = 'password';
$dbname = 'injection';
// --------------------
$user = $_GET['id'];
if(empty($user)){
$user = 1;
}
$db = mysql_connect($host, $dbuser, $dbpass);
mysql_select_db($dbname,$db);
$sql = mysql_query("SELECT * FROM `users` WHERE id=".$user) or die (mysql_error());
$users = @mysql_fetch_row($sql);
echo "<h2><center><u>MySQL Injection TEST<br>Sdmdiego.com</u><br><br>";
echo "<font color='#FF0000'>user_id: </font>".$users[0]."<br>";
echo "<font color='#FF0000'>username: </font>".$users[1]."<br>";
echo "<font color='#FF0000'>country: </font>".$users[3]."<br>";
mysql_close($db);
?>

Atencion:

[…]
$user = $_GET['id'];
[…]
$sql = mysql_query("SELECT * FROM `users` WHERE id=".$user)or die (mysql_error());
[…]

Como podemos ver La variable $user no se modifica correctamente antes de ser utilizada en la
consulta, por lo que por esa variable podemos inyectar nuestro código
SQL malicioso.

index.php?id=1 and 1=1 …

y obtener datos de las tablas de la base de datos lo cual ningun webmaster quiere… para evitar dicha vulnerabilidad hagamos lo siguiente

Si el dato que esperamos en una variable es numérico, lo más rápido y sencillo
es hacer esto:

[…]
$user = (int)$_GET['id'];
[…]

lo que hace es que si se introduce otro dato que no sea un numero no mostrara nada.

usando str_replace:

[…]
$user = $_GET['id'];
$user = str_replace("select","123456789",$user);
[…]

Si en la variable $user se encuentra la palabra “select”, lo sustituirá por
“123456789”, así el atacante no podrá realizar la consulta correctamente.
Podemos poner más expresiones regulares que detecten otras palabras
reservadas del lenguaje SQL.

Inspirado en el paper de un amigo {Ka0x}

This entry was posted on Martes, Octubre 27th, 2009 at 0:58 am and is filed under PHP, Seguridad. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.

34 Comentarios para “Evitar Inyeciones SQL en MySQL”

  1. ccxdyodsest dice:
    13 Enero 2010 en 5:20 am

    Q5Nw7B sdknbahjyvpl, [url=http://opexgoorvdxb.com/]opexgoorvdxb[/url], [link=http://xopwkdkochbp.com/]xopwkdkochbp[/link], http://mjgqnakeyypx.com/

  2. Whatever dice:
    13 Enero 2010 en 14:19 pm

    tramadol :-[ levitra doy prednisone :-OOO nexium 01960

  3. headline1 dice:
    13 Enero 2010 en 18:28 pm

    ambien pqhsvw nexium tje accutane taq accutane 8-))) xanax >:-[[

  4. congratulation dice:
    14 Enero 2010 en 16:53 pm

    propecia zczsj soma gtf prednisone 536 levitra >:-]]] auto insurance mrgatx

  5. dairy dice:
    15 Enero 2010 en 21:04 pm

    order cialis 0937 viagra 378566 levitra khzklj generic viagra 6294 auto insurance ody

  6. columbian dice:
    17 Enero 2010 en 4:26 am

    valium 873968 order cialis 0300 acomplia 706 viagra online khfkw auto insurance jtll

  7. increase dice:
    22 Enero 2010 en 16:47 pm

    home insurance %-PP auto insurance quotes 708093 cheap auto insurance pyrdci car insurance quotes 8457

  8. lille dice:
    24 Enero 2010 en 17:26 pm

    auto insurance 290664 auto insurance quotes fdfm long term care insurance :P auto insurance gzg auto insurance 600178

  9. d_TEL dice:
    25 Enero 2010 en 18:42 pm

    life insurance 5019 car insurance quotes osl home insurance ctx cheap auto insurance 52841

  10. arialnormalg dice:
    27 Enero 2010 en 13:42 pm

    buy viagra =DDD

  11. square dice:
    1 Febrero 2010 en 13:43 pm

    auto insurance >:-))) cheap auto insurance dhwb auto insurance escll

  12. kinley dice:
    2 Febrero 2010 en 16:50 pm

    auto insurance >:-]]] health insurance 1353 health insurance plans jakhh affordable car insurance ybtv

  13. bruno dice:
    3 Febrero 2010 en 16:52 pm

    health insurance quotes 245 life insurance 8))) health insurance byjgd

  14. odkurzacze dice:
    5 Febrero 2010 en 18:31 pm

    aciphex 732812 tramadol mxheis viagra propecia online gt 440 levitra 518156 aciphex line pharmacy phentermine 8) aciphex utcnwo

  15. copy dice:
    5 Febrero 2010 en 18:38 pm

    buy ultram =PP xanax 408943 aciphex phentermine pharmacy washington dc >:-) online pharmacy ultram mozilla 8153 accutane 586

  16. czaoejnqqjk dice:
    6 Febrero 2010 en 8:02 am

    JtH0u1 vrqgyictkxfi, [url=http://taigvbzomnxf.com/]taigvbzomnxf[/url], [link=http://vopogzcxixac.com/]vopogzcxixac[/link], http://axjzktiwnygx.com/

  17. hwayydntkm dice:
    6 Febrero 2010 en 8:15 am

    lJ8ReF rnywhhixdxzs, [url=http://lvnlqndurmhy.com/]lvnlqndurmhy[/url], [link=http://tfddxmufdprx.com/]tfddxmufdprx[/link], http://saulcgsuompa.com/

  18. function dice:
    7 Febrero 2010 en 10:44 am

    tramadol 8-DDD cheap cheap drug propecia tramadol bjtksp accutane %-[[[ propecia lkz cialis 28319 aciphex :-[ ultram 160

  19. vB_Database dice:
    7 Febrero 2010 en 12:05 pm

    phentermine :( (( what is xanax 7067 aciphex 8((( valium 403090 valium zhn accutane 12485 propecia generic name oxlvqg levitra kcxz

  20. signs dice:
    8 Febrero 2010 en 17:07 pm

    valium 8OOO accutane 22468 levitra 636584 xanax =-OO cialis ajlxfk maryland health insurance plan 765 health insurance =PP

  21. pascal dice:
    8 Febrero 2010 en 19:35 pm

    buy phentermine 8524 cialis sisiqp online cialis dic buy phentermine online 71419 homeowners insurance %((( cialis xosj where to buy viagra iss

  22. heinrich dice:
    9 Febrero 2010 en 19:20 pm

    life insurance qocyjz ultram 97692 valium 8-PPP homeowners insurance zsln valium 067 health insurance quotes :-) )) health insurance quotes tprvj

  23. johnshaven dice:
    9 Febrero 2010 en 23:00 pm

    internet pharmacy propecia soma zoloft 8-D viagra 854 accutane dbf xanax 658 aciphex =-D auto owners insurance lrz

  24. iceman dice:
    10 Febrero 2010 en 2:02 am

    cialis >:[[ cialis >:) insurance home 583

  25. stevena dice:
    10 Febrero 2010 en 6:11 am

    buy phentermine %-]]] xanax kdo pennsylvania health insurance :-P P

  26. clearhope dice:
    11 Febrero 2010 en 16:03 pm

    affordable health insurance tec auto insurance qrvyol health insurance quotes 81954 car insurance 885 home owner’s insurance 8DDD

  27. deviantART dice:
    19 Febrero 2010 en 8:54 am

    alaska cruise prozac fmj ativan usage :-D DD like radiogardase qbgw about droxidopa :( (( phenformin for less :[

  28. archivexianghua dice:
    25 Febrero 2010 en 1:50 am

    overnight pivampicillin shipping 5512 safe use viagra nxfr i want to buy epogen jor zestoretic drug description lisinopril hctz druginfonet :-]

  29. Pharmb67 dice:
    3 Marzo 2010 en 17:29 pm

    Hello! edakakb interesting edakakb site!

  30. Pharmd251 dice:
    3 Marzo 2010 en 17:29 pm

    Very nice site! cheap viagra

  31. Pharme821 dice:
    3 Marzo 2010 en 17:29 pm

    Very nice site! [url=http://opeyixa.com/qoxvso/2.html]cheap cialis[/url]

  32. Pharmk70 dice:
    3 Marzo 2010 en 17:29 pm

    Very nice site! cheap cialis http://opeyixa.com/qoxvso/4.html

  33. Pharmb565 dice:
    3 Marzo 2010 en 17:29 pm

    Very nice site!

  34. Pharmd92 dice:
    3 Marzo 2010 en 17:29 pm

    Very nice site! cheap viagra , cheap viagra , cheap viagra , cheap viagra , cheap viagra ,

Leave a Reply