Respuesta a un comentario sobre PHP: hablemos de seguridad

Enviado por clbustos el Mié, 21/11/2007 - 10:49.

Clasificado en:

Un usuario acaba de enviarnos un comentario, preguntando porque falla lo siguiente (he eliminado las líneas con comentarios del comentario original)

<?php
include('conexion.php');
//Ejecucion de la sentencia SQL
mysql_query("INSERT INTO medicamento (grupo, nombre,clave,formula,prioridad , presentacion, contenido,unidad_medida,existencia,nivel ) VALUES ($_POST[clave],$_POST[nombre],$_POST[grupo], $_POST[prioridad], $_POST[formula], $_POST[presentacion], $_POST[unidad_medida], $_POST[nivel], $_POST[existencia], $_POST[contenido])");
?>

Más allá del problema obvio de la falla de comillas en los valores de la query, alrededor de los $_POST, lo más grave es la posibilidad de hacer una inyección SQL feroz.

¿Cúal es la idea? La mayoría de los lenguajes SQL aceptan el ';' como fin de comando. Por tanto, arreglado el tema de las comillas, si en $_POST['contenido'] pusieramos

';) DELETE FROM medicamento; --

, podríamos borrar tranquilamente todos los datos de la tabla.

¿Qué se puede hacer? Lo más sencillo es escapar las comillas ingresadas dentro de las variables enviadas. Más paranoico, pero no por ello menos útil, es buscar en las variables enviadas por los usuarios sentencias SQL, para banear la IP o enviarle mensajes amables del tipo "Si sigues haciendo inyección, te mato a la madre!".

Para más información, pueden leer algunos papers en inglés sobre el tema de la inyección