5

SQL Injection en MySQL ¿Qué es y cómo evitarlo?

21 de Enero de 2010 | Etiquetas: , | Categoría: mysql

Cuando hablé sobre los ataques de Black Hat SEO, os conté muy por encima que es un ataque por SQL Injection. Pues hoy vamos a ver una forma de evitarlos.

¿Qué es un ataque por Inyección SQL?
Con un ataque de este tipo lo que intentan es conseguir la información que almacenamos en nuestra base de datos, modificarla o incluso eliminarla. Para ello localizan archivos a los que les pasamos variables a través de GET o POST.

Vamos a ver un ejemplo, si tenemos un archivo con una query de este estilo:

&query='DELETE * FROM noticias WHERE id="'.$_GET['id'].'"';

En un archivo llamado noticias.php y le pasamos el parámetro id por la url (get), podrán atacarnos llamando al archivo y modificando los parámetros a pasarle:

noticias.php?id=12" OR 1="1

Si volvemos a la query, veremos que con los nuevos parámetros, esta quedaría así:

&query='DELETE * FROM noticias WHERE id="12" OR 1="1"';

Por lo que modificarían nuestra query, haciéndola siempre posible, pues 1 es igual a 1, por lo tanto eliminaría todas las noticias de nuestra tabla, cuando nosotros lo que queríamos era eliminar una única noticia.

En el caso de pasar las variables por POST también sería posible el ataque, pues añadirían el código malicioso en un campo del formulario dando el mismo resultado.

¿Cómo evitamos un ataque de este tipo?
Cómo no queremos que nos arruinen de por vida, vamos a utilizar dos funciones php muy útiles: sprintf y mysql_real_escape_string. Si las aplicamos a nuestra query, quedaría así:

$query = sprintf("DELETE * FROM noticias WHERE id='%d'",
 mysql_real_escape_string($id));

Con sprintf damos formato a nuestra sentencia asignando el espacio justo para los parámetros a recoger (%d para un número, %s para una cadena, etc) y con mysql_real_escape_string escapamos caracteres especiales, por lo que si nos hicieran el mismo ataque (12″ OR 1=”1) nos devolvería esto:

&query='DELETE * FROM noticias WHERE id="12"';

Cómo véis sólo permanece el 12, eliminando el trozo ” OR 1=”1 y evitando así que la consulta siempre sea posible.

Porque más vale prevenir que curar :P

Twittea esto Guardalo en Delicious Compartelo en Facebook

9

Sentencias MYSQL: Campos de varias tablas en la misma query

7 de Enero de 2010 | Etiquetas: , , | Categoría: mysql 
SELECT DISTINCT tabla1.campo1, tabla2.campo2 as nuevonombre, tabla3.campo3
FROM tabla1, tabla2, tabla3 WHERE tabla1.campo1=tabla3.campo1 ORDER BY
tabla2.campo2

Muchas veces necesitamos seleccionar información de diversas tablas para poder trabajar, pero como nos gusta ahorrar código pasamos de hacer varias querys, si podemos utilizar sólo una.

En el ejemplo de arriba muestro cómo utilizar un select de distintas tablas. Cosas a tener en cuenta:

- Siempre tenemos que indicar antes del nombre del campo, el nombre de la tabla en la que se encuentra, separados por un punto. Ejemplo: tabla1.campo1
- En el FROM deberán estar todas las tablas utilizadas.
- Podemos asignar campos que no tengamos seleccionados para mostrar en el WHERE.
- También podemos ordenar por campos de diversas tablas.
- DISTINCT elimina las filas duplicadas, se puede dar el caso al trabajar con varias tablas.
- Si tenemos nombres de campos iguales en diferentes tablas, podemos cambiarles el nombre utilizando as. Ejemplo: tabla2.campo2 as nuevonombre

Advierto: Trabajar con muchas tablas y campos en la misma query puede causar problemas de cordura :P

Actualizado 08/01/2009: Mirar los comentarios! Hay más información útil!

Twittea esto Guardalo en Delicious Compartelo en Facebook

0

Sentencias MYSQL: LIMIT 5,10

9 de Septiembre de 2009 | Etiquetas: , , | Categoría: mysql 
SELECT * FROM table LIMIT 5,10

Con la sentencia anterior podemos seleccionar 10 elementos de la tabla “table” empezando por el número 6 e ignorando los 5 primeros. Usease que si tenemos 20 elementos habremos seleccionado del 6 al 15.

1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19 y 20.

Si añadimos como segundo parámetro de LIMIT un numero suficientemente grande seleccionará todos los elementos a partir del indicado, en el ejemplo anterior 6.

Recordad también que si usamos LIMIT con un sólo parámetro, estaremos cogiendo sólamente los 8 primeros elementos de nuestra tabla, por ejemplo:

SELECT * FROM table LIMIT 8

Queda inaugurada mi nueva categoría Sentencias MySQL :D

Twittea esto Guardalo en Delicious Compartelo en Facebook

7

MYSQL: Mostrar, añadir, modificar o eliminar datos con php

26 de Febrero de 2009 | Etiquetas: , | Categoría: PHP

Ahora que ya sabemos como crear una base de datos, una tabla y un campo en mysql vamos a darle un poco de vidilla con mi querido php.

Conectar con la base de datos

Lo primero que tenemos que hacer es conectar con la base de datos, para ello crearemos una función, así nos ahorramos un poco de código, y ya que estamos creamos también la función para desconectar.

function Conectar(){
$link = mysql_connect("servidor","usuario","contraseña");
return $link;
}

function Desconectar($link){
mysql_close($link);
}

Acordaros de cambiar los parámetros servidor, usuario y contraseña, por los vuestros.

Realizar una consulta a una tabla

Para extraer el contenido de una tabla debemos realizar una consulta (query) a ésta, según lo que le indiquemos, nos devolverá un resultado u otro.

El procedimiento general para realizar una consulta es el siguiente:
1. Conectar con la base de datos (mysql_connect).
2. Escribir la consulta (query).
3. Enviar la consulta a la base de datos (mysql_query).
4. Desconectar de la base de datos (mysql_close).

Aunque entre los pasos 3 y 4 es donde podremos meter mano y hacer lo que nos plazca con esos datos..

Listar datos de una tabla.

$link = Conectar();
$q = "SELECT * FROM Tabla1 ORDER BY campo1 DESC";
$rs = mysql_query($q);
while ($row = mysql_fetch_array($rs)) {
		echo '<p>'.$row['campo1'].'</p>';
}
Desconectar($link);

Para a quién le suene a chino el código de arriba, os lo voy a explicar un poquito:
Variables: $link almacena la conexion a la base de datos, $q almacena la query, $rs almacena el resultado de ejecutar nuestra query en la base de datos y $row almacena el recorrido por las filas de nuestra tabla que cumplen las condiciones indicadas, $row es un array.
Bucle while: Recorre todas las filas de nuestra tabla, mientras se cumpla la condición especificada en la query.
Echo: muestra / interpreta contenido html dentro de php, para incluir una variable php dentro de ese html utilizaremos ‘.$variable.’ así podrá diferenciarla del html.
Para mostrar el contenido de un campo especifico, deberemos especificarlo en el array $row, por ejemplo si queremos mostrar el contenido de un campo de nuestra tabla llamado nombre, deberemos escribir: $row['nombre'].

Insertar, modificar y eliminar datos de una tabla.

$link = Conectar();
$q = "INSERT INTO Tabla1 (campo1, campo2) VALUES ('texto1','texto2')";
$rs = mysql_query($q);
if($rs == false) {
	echo '<p>Error al insertar los campos en la tabla.</p>';
}else{
	echo '<p>Los datos se han insertado correctamente.</p>';
}
Desconectar($link);


Insertamos los datos texto1 y texto2 en los campos campo1 y campo2.
If: Si el resultado devuelto es false, indica que no se ha ejecutado lo que le hemos indicado, si es distinto de false significará que se ha ejecutado correctamente.

$link = Conectar();
$q = "UPDATE Tabla1 SET campo1='texto1', campo2='texto2' WHERE campo3='texto3'";
$rs = mysql_query($q);
if($rs == false) {
	echo '<p>Error al modificar los campos en la tabla.</p>';
}else{
	echo '<p>Los datos se han modificado correctamente.</p>';
}
Desconectar($link);


Modificamos / actualizamos los datos que contienen campo1 y campo2 por los nuevos valores texto1 y texto2, siempre y cuando el campo3 contenga los datos texto3. Esto lo indicamos para que no nos modifique todas las filas de nuestra tabla.

$link = Conectar();
$q = "DELETE * FROM Tabla1 WHERE campo3='texto3'";
$rs = mysql_query($q);
if($rs == false) {
	echo '<p>Error al eliminar los campos en la tabla.</p>';
}else{
	echo '<p>Los datos se han eliminado correctamente.</p>';
}
Desconectar($link);


Eliminamos la fila de nuestra tabla que contenga el valor texto3 del campo texto3.

Análisis / explicación de las querys.
En los ejemplos anteriores os he puesto las consultas un poco “a lo bruto” sin explicarlas, así que voy a comentarlas un poquito por si no ha quedado muy clara la función de cada una.

SELECT * FROM Tabla1 ORDER BY campo1 DESC
El asterisco (*) indica que vamos a seleccionar todos los campos de la tabla Tabla1 y los vamos a ordenar de manera descendente (Z-A) segun el contenido del campo1.
En lugar del asterisco podriamos seleccionar campos específicos, la ordenación es algo opcional, si no lo indicamos se ordenaran de forma ascendente ASC (A-Z). También podemos limitar a que nos muestre sólo los 2 (o los que queramos) primeros resultados.
Quedaría asi: SELECT campo1, campo2, campo3, campo4 FROM Tabla1 LIMIT 2

INSERT INTO Tabla1 (campo1, campo2) VALUES (‘texto1′,’texto2′)
Insertamos en los campos campo1 y campo2 de la tabla Tabla1 los valores texto1 y texto2, debemos poner el valor asignado en el mismo orden que hemos puesto los campos.

UPDATE Tabla1 SET campo1=’texto1′, campo2=’texto2′ WHERE campo3=’texto3′
Actualizamos los campos indicados con sus nuevos valores, a cada uno el suyo, siempre y cuando el valor del campo3 sea texto3, de la tabla Tabla1.

DELETE * FROM Tabla1 WHERE campo3=’texto3
Eliminamos todos los campos de la fila de la Tabla1 en la que coincide texto3 como valor del campo campo3.

Existen muchos tipos de sentencias SQL, podéis aprender sobre todas gracias al Manual de referencia SQL.

Bueeeno, creo que esta vez me he enrrollado más de lo normal, perdonadme :D

Twittea esto Guardalo en Delicious Compartelo en Facebook

2 pages