Foro de elhacker.net

Buenas:

Llevo varios días leyendo sobre cómo evitar inyección sql en php y hay mucha información y cada cual hace lo que le parece aplicando lo que cree conveniente. Entre otras cosas esto:

• Filtrar con expresiones regulares.
• Filtrar palabras clave como AND, OR, WHERE, SELECT, DELETE, etc..
• Reemplazar caracteres del tipo ', ", *, ;, etc...
• Verificar la longitud de las variables.
• Utilizar Stored Procedure (no se porque es mas seguro...)
• Utilizar funciones del tipo addslashes().
• Limitar permisos del usuario en la base de datos.

Se que en Java, por ejemplo tenemos los PreparedStatement que supuestamente te evitan ese tipo de problemas y son bastante cómodos de utilizar.

También he visto en el foro esta función:

<?php
function addslashes__recursive($var){
if (!is_array($var))
return addslashes($var);
$new_var = array();
foreach ($var as $k => $v)$new_var[addslashes($k)]=addslashes__recursive($v);
return $new_var;
}
$_POST=addslashes__recursive($_POST);
$_GET=addslashes__recursive($_GET);
$_REQUEST=addslashes__recursive($_REQUEST);
$_SERVER=addslashes__recursive($_SERVER);
$_COOKIE=addslashes__recursive($_COOKIE);
?>

http://foro.elhacker.net/php/pequenos_trucos_en_php-t152467.0.html (http://foro.elhacker.net/php/pequenos_trucos_en_php-t152467.0.html)

Después de haber visto tantas cosas no tengo nada claro que proceso seguir. ¿Vosotros cómo hacéis? ¿Tenéis una formula mágica :P 100% segura?

En PHP lo correcto es usar mysql_real_escape_string() (http://php.net/manual/es/function.mysql-real-escape-string.php)

Y utilizando esa función ya no es necesario nada mas?

no

Ok

Esa función cuando ingresés datos a la db y para mostrar htmlspecialchars($variable, ENT_QUOTES) y evitas xss.
 
Con esa política tu sitio será mas seguro.

umm... gracias. Eso del xss no lo sabía.

Si no es esto corrígeme.

xss Directo: Por ejemplo, cuando tienes un blog y un usuario te inserta en los comentarios código html con malas intenciones. Del tipo:

<BR SIZE="&{alert('XSS')}">
<FK STYLE="behavior: url(http://yoursite/xss.htc);">
<DIV STYLE="background-image: url(javascript:alert('XSS'))">
 

xss Indirecto: Si encuentras una vulnerabilidad en el facebook y la utilizas para que un usuario X visite un enlace con dominio www.facebook.com que tu has modificado y así poder robarle las cookies.

El indirecto no lo veo tan sencillo.

Ahmmm... y este "htmlentities()" lo sueles utilizar también o no es aconsejable.?

Es aconsejable utilizar mysql_real_escape_string() (http://php.net/manual/es/function.mysql-real-escape-string.php) para guardar en la bd y htmlentities() (http://php.net/manual/es/function.htmlentities.php) para imprimir los datos.

Si lo que coges siempre es un número también puedes evitarte todo con un is_numeric() (http://php.net/manual/es/function.is-numeric.php).

Saludos!

Pero hay que saber usarlo, porque aún así teniendo esa función se puede generar un XSS.

en el foro de bugs y exploits a nivel web están las mil y un formas de evitar ataques xss, sqli, csrf, etc

http://foro.elhacker.net/nivel_web/temas_mas_destacados_fallas_y_explotaciones_a_nivel_web_actualizado_9510-t244090.0.html

En el apartado prevención:

Prevención

• Como evitar la inyeccion sql (http://foro.elhacker.net/nivel_web/como_evitar_la_inyeccion_sql-t252384.0.html)
  
• Prevenir SQL Injection ? (http://foro.elhacker.net/seguridad/prevenir_sql_injection-t261480.0.html)
  
• Evitar XSS en eval() de ‭‬‭‬‭‬‭‬‭‬‭‬‭‬‭‬javascript (http://foro.elhacker.net/nivel_web/evitar_xss_en_eval-t274302.0.html)
  
• PHP upload security (http://foro.elhacker.net/nivel_web/php_upload_security-t277601.0.html)