SlideShare ist ein Scribd-Unternehmen logo

Eliminando SQL injection

Stuardo Rodriguez
Stuardo Rodriguez

Conferencia que di para OWASP Guatemala sobre SQL injection en PHP y como eliminar ese problema de seguridad el cual es el número uno del Top10 según OWASP.

Technologie
1 von 28
Downloaden Sie, um offline zu lesen
Eliminando SQL injection Stuardo -StR- Rodríguez Web developer La Maphpia srodriguez@maphpia.com OWASP 19/08/2011 Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP Foundation
¿Quién soy? Stuardo Rodríguez Promotor del software libre desde 1998 Desarollador web en PHP desde 2000 Fundador comunidad PHPGT  /in/stuardo  http://www.google.com/profiles/stuardo.str Actualmente trabajando para La Maphpia OWASP 2
Eliminando SQL injection Agenda 3 categorías de posible inseguridad ¿Qué es SQL injection? Como solucionar problemas de SQL injection Como ELIMINAR problemas de SQL injection Ir un paso mas allá. OWASP 3
3 categorías de posible inseguridad Datos de entrada Datos de salida Entorno entrada sistema salida OWASP 4
3 categorías de posible inseguridad Datos de entrada Datos de salida Entorno entrada sistema salida OWASP 5
¿Qué es SQL injection? $_POST['email'] = “foo@bar.com'); DROP TABLE users; -- ”; $sql = “INSERT INTO users (username, password, email) VALUES ( '{$_POST['username']}', '{$_POST['pass']}', '{$_POST['email']}' )”; INSERT INTO USERS (username, password, email) VALUES ('str', 'password', 'foo@bar.com'); DROP TABLE users; -- '); OWASP 6
¿Qué es SQL injection? $_POST['email'] = “foo@bar.com'); DROP TABLE users; -- ”; $sql = “INSERT INTO users (username, password, email) VALUES ( '{$_POST['username']}', '{$_POST['pass']}', '{$_POST['email']}' )”; INSERT INTO USERS (username, password, email) VALUES ('str', 'password', 'foo@bar.com'); DROP TABLE users; -- '); OWASP 7
¿Qué es SQL injection? $_POST['email'] = “foo@bar.com'); DROP TABLE users; -- ”; $sql = “INSERT INTO users (username, password, email) VALUES ( '{$_POST['username']}', '{$_POST['pass']}', '{$_POST['email']}' )”; INSERT INTO USERS (username, password, email) VALUES ('str', 'password', 'foo@bar.com'); DROP TABLE users; -- '); OWASP 8
¿Qué es SQL injection? $_POST['email'] = “foo@bar.com'); DROP TABLE users; -- ”; $sql = “INSERT INTO users (username, password, email) VALUES ( '{$_POST['username']}', '{$_POST['pass']}', '{$_POST['email']}' )”; INSERT INTO USERS (username, password, email) VALUES ('str', 'password', 'foo@bar.com'); DROP TABLE users; -- '); OWASP 9
Como solucionar problemas de SQL injection Método automático magic_quotes  Existe desde PHP2  Creado para “ayudar” a programadores novatos a escribir código “seguro”  Escapeaba con cualquier ',”, o caracter NULL. OWASP 10
Como solucionar problemas de SQL injection Método automático magic_quotes  No todos los datos de entrada son para ser insertados en SQL.  No todos los datos a ser insertados vienen en un campo del formulario.  magic_quotes usa addslashes() que no es seguro para escapar texto unicode.  No todas las bases de datos usan para escapear ' OWASP 11
Como solucionar problemas de SQL injection Método automático magic_quotes  No todos los datos de entrada son para ser insertados en SQL.  No todos los datos a ser insertados vienen en un campo del formulario.  magic_quotes usa addslashes() que no es seguro para escapar texto unicode.  No todas las bases de datos usan para escapear '  GENERA IGNORANCIA! OWASP 12
Como solucionar problemas de SQL injection Método automático filter_input() filter_var() filter_input_array() filter_var_array() OWASP 13
Como solucionar problemas de SQL injection Método automático filter_input() filter_var() filter_input_array() filter_var_array() SIGEN GENERANDO IGNORANCIA! OWASP 14
Como solucionar problemas de SQL injection Método manual if (strpos($_POST['email'], ';')) throw new Exception('Invalid input'); if (strpos($_POST['email'], ''')) throw new Exception('Invalid input'); if (strpos($_POST['email'], '”')) throw new Exception('Invalid input'); if (preg_match('/from|select|delete|insert| where|drop|show|#|--|/ui',$_POST['email'])) throw new Exception('Invalid input'); OWASP 15
Como solucionar problemas de SQL injection Método manual mysql_escape_string() mysql_real_escape_string() OWASP 16
Como solucionar problemas de SQL injection $_POST['email'] = “foo@bar.com'); DROP TABLE users; -- ”; $sql = “INSERT INTO users (username, password, email) VALUES ( '{$_POST['username']}', '{$_POST['pass']}', '{$_POST['email']}' )”; INSERT INTO USERS (username, password, email) VALUES ('str', 'password', 'foo@bar.com'); DROP TABLE users; -- '); OWASP 17
Como solucionar problemas de SQL injection $_POST['email'] = “foo@bar.com'); DROP TABLE users; -- ”; $sql = sprintf(“INSERT INTO users (username, password, email) VALUES ('%s', '%s', '%s')”, mysql_real_escape_string ($_POST['username']), mysql_real_escape_string ($_POST['pass']), mysql_real_escape_string ($_POST['email']) )”; INSERT INTO USERS (username, password, email) VALUES ('str', 'password', 'foo@bar.com'); DROP TABLE users; -- '); OWASP 18
Como ELIMINAR problemas de SQL injection PDO ... OWASP 19
Como ELIMINAR problemas de SQL injection $_POST['email'] = “foo@bar.com'); DROP TABLE users; -- ”; $sql = sprintf(“INSERT INTO users (username, password, email) VALUES ('%s', '%s', '%s')”, mysql_real_escape_string ($_POST['username']), mysql_real_escape_string ($_POST['pass']), mysql_real_escape_string ($_POST['email']) )”; INSERT INTO USERS (username, password, email) VALUES ('str', 'password', 'foo@bar.com'); DROP TABLE users; -- '); OWASP 20
Como ELIMINAR problemas de SQL injection $_POST['email'] = “foo@bar.com'); DROP TABLE users; -- ”; $sql = $db->prepare('INSERT INTO users (username, password, email) VALUES (:username, :pass, :email)'); $sql->exec($_POST); INSERT INTO USERS (username, password, email) VALUES ('str', 'password', 'foo@bar.com'); DROP TABLE users; -- '); OWASP 21
Como ELIMINAR problemas de SQL injection $_POST['email'] = “foo@bar.com'); DROP TABLE users; -- ”; $sql = $db->prepare('INSERT INTO users (username, password, email) VALUES (:username, :pass, :email)'); $sql->exec($_POST); INSERT INTO USERS (username, password, email) VALUES ('str', 'password', 'foo@bar.com'); DROP TABLE users; -- '); OWASP 22
Como ELIMINAR problemas de SQL injection PDO Módulo PECL para PHP 5.0 Nace de DB y MDB de PEAR Por default en PHP 5.1 OWASP 23
Como ELIMINAR problemas de SQL injection $_POST['email'] = “foo@bar.com'); DROP TABLE users; -- ”; $db = new PDO('mysql:host=localhost; dbname=example', $user, $password); $sql = $db->prepare('INSERT INTO users (username, password, email) VALUES (:username, :pass, :email)'); $sql->exec ($_POST); OWASP 24
Ir un paso mas allá. PDO es una capa de abstracción de acceso a datos Usar una capa de abstracción de datos Doctrine OWASP 25
Ir un paso mas allá. $_POST['email'] = “foo@bar.com'); DROP TABLE users; -- ”; $sql = $db->prepare('INSERT INTO users (username, password, email) VALUES (:username, :pass, :email)'); $sql->exec($_POST); INSERT INTO USERS (username, password, email) VALUES ('str', 'password', 'foo@bar.com'); DROP TABLE users; -- '); OWASP 26
Ir un paso mas allá. $_POST['email'] = “foo@bar.com'); DROP TABLE users; -- ”; $user = new User(); $user->insert($_POST); INSERT INTO USERS (username, password, email) VALUES ('str', 'password', 'foo@bar.com'); DROP TABLE users; -- '); OWASP 27
Eliminando SQL injection GRACIAS Stuardo -StR- Rodríguez srodriguez@maphpia.com  /in/stuardo  http://www.google.com/profiles/stuardo.str OWASP 28

Empfohlen

(In) seguridad web
(In) seguridad web(In) seguridad web
(In) seguridad web
Eventos Creativos
 
Consultas
ConsultasConsultas
Consultas
pabloantoniofidel
 
Tm13 introduccion al_sql
Tm13 introduccion al_sqlTm13 introduccion al_sql
Tm13 introduccion al_sql
Julio Pari
 
Command oracle
Command oracleCommand oracle
Command oracle
dnrdeleon
 
Sql injection
Sql injectionSql injection
Sql injection
Minoxx
 
Creacion de bases de datos en SQL Server
Creacion de bases de datos en SQL ServerCreacion de bases de datos en SQL Server
Creacion de bases de datos en SQL Server
RayoMonster
 
Poo 4 arraylist_implem
Poo 4 arraylist_implemPoo 4 arraylist_implem
Poo 4 arraylist_implem
jlmanmons
 
SQL Injection Joinea 2010
SQL Injection Joinea 2010SQL Injection Joinea 2010
SQL Injection Joinea 2010
magnobalt
 

Empfohlen

(In) seguridad web
(In) seguridad web(In) seguridad web
(In) seguridad web
Eventos Creativos
 
Consultas
ConsultasConsultas
Consultas
pabloantoniofidel
 
Tm13 introduccion al_sql
Tm13 introduccion al_sqlTm13 introduccion al_sql
Tm13 introduccion al_sql
Julio Pari
 
Command oracle
Command oracleCommand oracle
Command oracle
dnrdeleon
 
Sql injection
Sql injectionSql injection
Sql injection
Minoxx
 
Creacion de bases de datos en SQL Server
Creacion de bases de datos en SQL ServerCreacion de bases de datos en SQL Server
Creacion de bases de datos en SQL Server
RayoMonster
 
Poo 4 arraylist_implem
Poo 4 arraylist_implemPoo 4 arraylist_implem
Poo 4 arraylist_implem
jlmanmons
 
SQL Injection Joinea 2010
SQL Injection Joinea 2010SQL Injection Joinea 2010
SQL Injection Joinea 2010
magnobalt
 
Wp config.php
Wp config.phpWp config.php
Wp config.php
gregozz
 
Sentencias create
Sentencias createSentencias create
Sentencias create
Base de Datos
 
NOTACIÓN POSTFIJA E INFIJA - JAVA
NOTACIÓN POSTFIJA E INFIJA - JAVANOTACIÓN POSTFIJA E INFIJA - JAVA
NOTACIÓN POSTFIJA E INFIJA - JAVA
Shirley Contreras Ulloa
 
Doctrine2 sf2Vigo
Doctrine2 sf2VigoDoctrine2 sf2Vigo
Doctrine2 sf2Vigo
Ignacio Martín
 
Tallerprogramacion
TallerprogramacionTallerprogramacion
Tallerprogramacion
johanadoria
 
Symfony2 - ACL
Symfony2 - ACLSymfony2 - ACL
Symfony2 - ACL
Gonzalo Alonso
 
Modulo de programacion sql unidad II
Modulo de programacion sql unidad IIModulo de programacion sql unidad II
Modulo de programacion sql unidad II
firemas
 
Taler bd # 3
Taler bd # 3Taler bd # 3
Taler bd # 3
Beatriz Salazar
 
Taller de MySQL (DDL)
Taller de MySQL (DDL)Taller de MySQL (DDL)
Taller de MySQL (DDL)
mgpc
 
Gustavo php
Gustavo phpGustavo php
Gustavo php
Gustavo
 
Aplicaciones para sistemas distribuidos slide
Aplicaciones para sistemas distribuidos slideAplicaciones para sistemas distribuidos slide
Aplicaciones para sistemas distribuidos slide
marieuri
 
Triggers
TriggersTriggers
Triggers
bdatos
 
Copilacion de ejercicios en java
Copilacion de ejercicios en javaCopilacion de ejercicios en java
Copilacion de ejercicios en java
Jonathan Israel
 
Inyeccion sql by Anonymous - Americalatina
Inyeccion sql by Anonymous - AmericalatinaInyeccion sql by Anonymous - Americalatina
Inyeccion sql by Anonymous - Americalatina
Anonymous - Americalatina Anonymous - Americalatina
 
Mantenimiento de Usuarios usando MVC ver1
Mantenimiento de Usuarios usando MVC ver1Mantenimiento de Usuarios usando MVC ver1
Mantenimiento de Usuarios usando MVC ver1
Jose Luis Orosco Marcos
 
Introduccion a SQL
Introduccion a SQL Introduccion a SQL
Introduccion a SQL
Renatta Rodriguez
 
Sesion 3
Sesion 3Sesion 3
Sesion 3
futurodelweb.com
 
Actividades unidad 3 pacheco
Actividades unidad 3 pachecoActividades unidad 3 pacheco
Actividades unidad 3 pacheco
UV ADMINISTRACION (SISTEMAS)
 
Sentencias SQL Update y Delete
Sentencias SQL Update y DeleteSentencias SQL Update y Delete
Sentencias SQL Update y Delete
Emerson Garay
 
Mecanismos de protección contra inyección sql
Mecanismos de protección contra inyección sqlMecanismos de protección contra inyección sql
Mecanismos de protección contra inyección sql
Alejandra Toledano
 
Ejemplos de php_mysql
Ejemplos de php_mysqlEjemplos de php_mysql
Ejemplos de php_mysql
I LG
 
Inyecciones sql para todos
Inyecciones sql para todosInyecciones sql para todos
Inyecciones sql para todos
csaralg
 

Weitere ähnliche Inhalte

Was ist angesagt?

Tallerprogramacion
TallerprogramacionTallerprogramacion
Tallerprogramacion
johanadoria
 
Modulo de programacion sql unidad II
Modulo de programacion sql unidad IIModulo de programacion sql unidad II
Modulo de programacion sql unidad II
firemas
 
Gustavo php
Gustavo phpGustavo php
Gustavo php
Gustavo
 

Was ist angesagt? (19)

Wp config.php
Wp config.phpWp config.php
Wp config.php
 
Sentencias create
Sentencias createSentencias create
Sentencias create
 
NOTACIÓN POSTFIJA E INFIJA - JAVA
NOTACIÓN POSTFIJA E INFIJA - JAVANOTACIÓN POSTFIJA E INFIJA - JAVA
NOTACIÓN POSTFIJA E INFIJA - JAVA
 
Doctrine2 sf2Vigo
Doctrine2 sf2VigoDoctrine2 sf2Vigo
Doctrine2 sf2Vigo
 
Tallerprogramacion
TallerprogramacionTallerprogramacion
Tallerprogramacion
 
Symfony2 - ACL
Symfony2 - ACLSymfony2 - ACL
Symfony2 - ACL
 
Modulo de programacion sql unidad II
Modulo de programacion sql unidad IIModulo de programacion sql unidad II
Modulo de programacion sql unidad II
 
Taler bd # 3
Taler bd # 3Taler bd # 3
Taler bd # 3
 
Taller de MySQL (DDL)
Taller de MySQL (DDL)Taller de MySQL (DDL)
Taller de MySQL (DDL)
 
Gustavo php
Gustavo phpGustavo php
Gustavo php
 
Aplicaciones para sistemas distribuidos slide
Aplicaciones para sistemas distribuidos slideAplicaciones para sistemas distribuidos slide
Aplicaciones para sistemas distribuidos slide
 
Triggers
TriggersTriggers
Triggers
 
Copilacion de ejercicios en java
Copilacion de ejercicios en javaCopilacion de ejercicios en java
Copilacion de ejercicios en java
 
Inyeccion sql by Anonymous - Americalatina
Inyeccion sql by Anonymous - AmericalatinaInyeccion sql by Anonymous - Americalatina
Inyeccion sql by Anonymous - Americalatina
 
Mantenimiento de Usuarios usando MVC ver1
Mantenimiento de Usuarios usando MVC ver1Mantenimiento de Usuarios usando MVC ver1
Mantenimiento de Usuarios usando MVC ver1
 
Introduccion a SQL
Introduccion a SQL Introduccion a SQL
Introduccion a SQL
 
Sesion 3
Sesion 3Sesion 3
Sesion 3
 
Actividades unidad 3 pacheco
Actividades unidad 3 pachecoActividades unidad 3 pacheco
Actividades unidad 3 pacheco
 
Sentencias SQL Update y Delete
Sentencias SQL Update y DeleteSentencias SQL Update y Delete
Sentencias SQL Update y Delete
 

Ähnlich wie Eliminando SQL injection

Mecanismos de protección contra inyección sql
Mecanismos de protección contra inyección sqlMecanismos de protección contra inyección sql
Mecanismos de protección contra inyección sql
Alejandra Toledano
 
Ejemplos de php_mysql
Ejemplos de php_mysqlEjemplos de php_mysql
Ejemplos de php_mysql
I LG
 
Inyecciones sql para todos
Inyecciones sql para todosInyecciones sql para todos
Inyecciones sql para todos
csaralg
 
Php y my sql con manejo de sesiones
Php y my sql con manejo de sesionesPhp y my sql con manejo de sesiones
Php y my sql con manejo de sesiones
capo1988
 
Sesión 12 -Diseño de BD_Ciclo_3.pptx
Sesión 12 -Diseño de BD_Ciclo_3.pptxSesión 12 -Diseño de BD_Ciclo_3.pptx
Sesión 12 -Diseño de BD_Ciclo_3.pptx
John McClane
 

Ähnlich wie Eliminando SQL injection (20)

Mecanismos de protección contra inyección sql
Mecanismos de protección contra inyección sqlMecanismos de protección contra inyección sql
Mecanismos de protección contra inyección sql
 
Ejemplos de php_mysql
Ejemplos de php_mysqlEjemplos de php_mysql
Ejemplos de php_mysql
 
Inyecciones sql para todos
Inyecciones sql para todosInyecciones sql para todos
Inyecciones sql para todos
 
INYECCION SQL(SEGURIDAD DE LA INFORMACION)
INYECCION SQL(SEGURIDAD DE LA INFORMACION)INYECCION SQL(SEGURIDAD DE LA INFORMACION)
INYECCION SQL(SEGURIDAD DE LA INFORMACION)
 
Guia N5 Proyectos Web Consultas Php Y My Sql
Guia N5 Proyectos Web Consultas Php Y My SqlGuia N5 Proyectos Web Consultas Php Y My Sql
Guia N5 Proyectos Web Consultas Php Y My Sql
 
Base de datos dinamicas
Base de datos dinamicasBase de datos dinamicas
Base de datos dinamicas
 
Php y my sql con manejo de sesiones
Php y my sql con manejo de sesionesPhp y my sql con manejo de sesiones
Php y my sql con manejo de sesiones
 
Jquery para principianes
Jquery para principianesJquery para principianes
Jquery para principianes
 
J M E R L I N P H P
J M E R L I N P H PJ M E R L I N P H P
J M E R L I N P H P
 
Php y MySQL
Php y MySQLPhp y MySQL
Php y MySQL
 
Sesión 12 -Diseño de BD_Ciclo_3.pptx
Sesión 12 -Diseño de BD_Ciclo_3.pptxSesión 12 -Diseño de BD_Ciclo_3.pptx
Sesión 12 -Diseño de BD_Ciclo_3.pptx
 
Práctica SQL en MYSQL
Práctica SQL en MYSQLPráctica SQL en MYSQL
Práctica SQL en MYSQL
 
Asegúr@IT 7: Serialized SQL Injection
Asegúr@IT 7: Serialized SQL InjectionAsegúr@IT 7: Serialized SQL Injection
Asegúr@IT 7: Serialized SQL Injection
 
Inyección_sql
Inyección_sqlInyección_sql
Inyección_sql
 
Jacqueline nuñez pacco
Jacqueline nuñez paccoJacqueline nuñez pacco
Jacqueline nuñez pacco
 
Jacqueline nuñez pacco
Jacqueline nuñez paccoJacqueline nuñez pacco
Jacqueline nuñez pacco
 
Julissa huaman hilari
Julissa huaman hilariJulissa huaman hilari
Julissa huaman hilari
 
Apuntes php
Apuntes phpApuntes php
Apuntes php
 
Documentacion jhon elvis_quispe_gutierrez
Documentacion jhon elvis_quispe_gutierrezDocumentacion jhon elvis_quispe_gutierrez
Documentacion jhon elvis_quispe_gutierrez
 
Loguin
LoguinLoguin
Loguin
 

Mehr von Stuardo Rodriguez

Usando SVN para instalar un Wordpress seguro en Ubuntu Server
Usando SVN para instalar un Wordpress seguro en Ubuntu ServerUsando SVN para instalar un Wordpress seguro en Ubuntu Server
Usando SVN para instalar un Wordpress seguro en Ubuntu Server
Stuardo Rodriguez
 

Mehr von Stuardo Rodriguez (6)

Blockchain 3.0 - eosio
Blockchain 3.0 - eosioBlockchain 3.0 - eosio
Blockchain 3.0 - eosio
 
Dti datos abiertos
Dti datos abiertosDti datos abiertos
Dti datos abiertos
 
reCuento
reCuentoreCuento
reCuento
 
Comunidades libres 3.0
Comunidades libres 3.0Comunidades libres 3.0
Comunidades libres 3.0
 
Guatemala Transparente @ hackatón Desarrollando America Latina 2014
Guatemala Transparente @ hackatón Desarrollando America Latina 2014Guatemala Transparente @ hackatón Desarrollando America Latina 2014
Guatemala Transparente @ hackatón Desarrollando America Latina 2014
 
Usando SVN para instalar un Wordpress seguro en Ubuntu Server
Usando SVN para instalar un Wordpress seguro en Ubuntu ServerUsando SVN para instalar un Wordpress seguro en Ubuntu Server
Usando SVN para instalar un Wordpress seguro en Ubuntu Server
 

Kürzlich hochgeladen

redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativa
nicho110
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
JohnRamos830530
 

Kürzlich hochgeladen (11)

redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativa
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
 
investigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIinvestigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXI
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.
 
Buenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxBuenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptx
 
Guia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos BasicosGuia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos Basicos
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
 

Eliminando SQL injection

  • 1. Eliminando SQL injection Stuardo -StR- Rodríguez Web developer La Maphpia srodriguez@maphpia.com OWASP 19/08/2011 Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP Foundation
  • 2. ¿Quién soy? Stuardo Rodríguez Promotor del software libre desde 1998 Desarollador web en PHP desde 2000 Fundador comunidad PHPGT  /in/stuardo  http://www.google.com/profiles/stuardo.str Actualmente trabajando para La Maphpia OWASP 2
  • 3. Eliminando SQL injection Agenda 3 categorías de posible inseguridad ¿Qué es SQL injection? Como solucionar problemas de SQL injection Como ELIMINAR problemas de SQL injection Ir un paso mas allá. OWASP 3
  • 4. 3 categorías de posible inseguridad Datos de entrada Datos de salida Entorno entrada sistema salida OWASP 4
  • 5. 3 categorías de posible inseguridad Datos de entrada Datos de salida Entorno entrada sistema salida OWASP 5
  • 6. ¿Qué es SQL injection? $_POST['email'] = “foo@bar.com'); DROP TABLE users; -- ”; $sql = “INSERT INTO users (username, password, email) VALUES ( '{$_POST['username']}', '{$_POST['pass']}', '{$_POST['email']}' )”; INSERT INTO USERS (username, password, email) VALUES ('str', 'password', 'foo@bar.com'); DROP TABLE users; -- '); OWASP 6
  • 7. ¿Qué es SQL injection? $_POST['email'] = “foo@bar.com'); DROP TABLE users; -- ”; $sql = “INSERT INTO users (username, password, email) VALUES ( '{$_POST['username']}', '{$_POST['pass']}', '{$_POST['email']}' )”; INSERT INTO USERS (username, password, email) VALUES ('str', 'password', 'foo@bar.com'); DROP TABLE users; -- '); OWASP 7
  • 8. ¿Qué es SQL injection? $_POST['email'] = “foo@bar.com'); DROP TABLE users; -- ”; $sql = “INSERT INTO users (username, password, email) VALUES ( '{$_POST['username']}', '{$_POST['pass']}', '{$_POST['email']}' )”; INSERT INTO USERS (username, password, email) VALUES ('str', 'password', 'foo@bar.com'); DROP TABLE users; -- '); OWASP 8
  • 9. ¿Qué es SQL injection? $_POST['email'] = “foo@bar.com'); DROP TABLE users; -- ”; $sql = “INSERT INTO users (username, password, email) VALUES ( '{$_POST['username']}', '{$_POST['pass']}', '{$_POST['email']}' )”; INSERT INTO USERS (username, password, email) VALUES ('str', 'password', 'foo@bar.com'); DROP TABLE users; -- '); OWASP 9
  • 10. Como solucionar problemas de SQL injection Método automático magic_quotes  Existe desde PHP2  Creado para “ayudar” a programadores novatos a escribir código “seguro”  Escapeaba con cualquier ',”, o caracter NULL. OWASP 10
  • 11. Como solucionar problemas de SQL injection Método automático magic_quotes  No todos los datos de entrada son para ser insertados en SQL.  No todos los datos a ser insertados vienen en un campo del formulario.  magic_quotes usa addslashes() que no es seguro para escapar texto unicode.  No todas las bases de datos usan para escapear ' OWASP 11
  • 12. Como solucionar problemas de SQL injection Método automático magic_quotes  No todos los datos de entrada son para ser insertados en SQL.  No todos los datos a ser insertados vienen en un campo del formulario.  magic_quotes usa addslashes() que no es seguro para escapar texto unicode.  No todas las bases de datos usan para escapear '  GENERA IGNORANCIA! OWASP 12
  • 13. Como solucionar problemas de SQL injection Método automático filter_input() filter_var() filter_input_array() filter_var_array() OWASP 13
  • 14. Como solucionar problemas de SQL injection Método automático filter_input() filter_var() filter_input_array() filter_var_array() SIGEN GENERANDO IGNORANCIA! OWASP 14
  • 15. Como solucionar problemas de SQL injection Método manual if (strpos($_POST['email'], ';')) throw new Exception('Invalid input'); if (strpos($_POST['email'], ''')) throw new Exception('Invalid input'); if (strpos($_POST['email'], '”')) throw new Exception('Invalid input'); if (preg_match('/from|select|delete|insert| where|drop|show|#|--|/ui',$_POST['email'])) throw new Exception('Invalid input'); OWASP 15
  • 16. Como solucionar problemas de SQL injection Método manual mysql_escape_string() mysql_real_escape_string() OWASP 16
  • 17. Como solucionar problemas de SQL injection $_POST['email'] = “foo@bar.com'); DROP TABLE users; -- ”; $sql = “INSERT INTO users (username, password, email) VALUES ( '{$_POST['username']}', '{$_POST['pass']}', '{$_POST['email']}' )”; INSERT INTO USERS (username, password, email) VALUES ('str', 'password', 'foo@bar.com'); DROP TABLE users; -- '); OWASP 17
  • 18. Como solucionar problemas de SQL injection $_POST['email'] = “foo@bar.com'); DROP TABLE users; -- ”; $sql = sprintf(“INSERT INTO users (username, password, email) VALUES ('%s', '%s', '%s')”, mysql_real_escape_string ($_POST['username']), mysql_real_escape_string ($_POST['pass']), mysql_real_escape_string ($_POST['email']) )”; INSERT INTO USERS (username, password, email) VALUES ('str', 'password', 'foo@bar.com'); DROP TABLE users; -- '); OWASP 18
  • 19. Como ELIMINAR problemas de SQL injection PDO ... OWASP 19
  • 20. Como ELIMINAR problemas de SQL injection $_POST['email'] = “foo@bar.com'); DROP TABLE users; -- ”; $sql = sprintf(“INSERT INTO users (username, password, email) VALUES ('%s', '%s', '%s')”, mysql_real_escape_string ($_POST['username']), mysql_real_escape_string ($_POST['pass']), mysql_real_escape_string ($_POST['email']) )”; INSERT INTO USERS (username, password, email) VALUES ('str', 'password', 'foo@bar.com'); DROP TABLE users; -- '); OWASP 20
  • 21. Como ELIMINAR problemas de SQL injection $_POST['email'] = “foo@bar.com'); DROP TABLE users; -- ”; $sql = $db->prepare('INSERT INTO users (username, password, email) VALUES (:username, :pass, :email)'); $sql->exec($_POST); INSERT INTO USERS (username, password, email) VALUES ('str', 'password', 'foo@bar.com'); DROP TABLE users; -- '); OWASP 21
  • 22. Como ELIMINAR problemas de SQL injection $_POST['email'] = “foo@bar.com'); DROP TABLE users; -- ”; $sql = $db->prepare('INSERT INTO users (username, password, email) VALUES (:username, :pass, :email)'); $sql->exec($_POST); INSERT INTO USERS (username, password, email) VALUES ('str', 'password', 'foo@bar.com'); DROP TABLE users; -- '); OWASP 22
  • 23. Como ELIMINAR problemas de SQL injection PDO Módulo PECL para PHP 5.0 Nace de DB y MDB de PEAR Por default en PHP 5.1 OWASP 23
  • 24. Como ELIMINAR problemas de SQL injection $_POST['email'] = “foo@bar.com'); DROP TABLE users; -- ”; $db = new PDO('mysql:host=localhost; dbname=example', $user, $password); $sql = $db->prepare('INSERT INTO users (username, password, email) VALUES (:username, :pass, :email)'); $sql->exec ($_POST); OWASP 24
  • 25. Ir un paso mas allá. PDO es una capa de abstracción de acceso a datos Usar una capa de abstracción de datos Doctrine OWASP 25
  • 26. Ir un paso mas allá. $_POST['email'] = “foo@bar.com'); DROP TABLE users; -- ”; $sql = $db->prepare('INSERT INTO users (username, password, email) VALUES (:username, :pass, :email)'); $sql->exec($_POST); INSERT INTO USERS (username, password, email) VALUES ('str', 'password', 'foo@bar.com'); DROP TABLE users; -- '); OWASP 26
  • 27. Ir un paso mas allá. $_POST['email'] = “foo@bar.com'); DROP TABLE users; -- ”; $user = new User(); $user->insert($_POST); INSERT INTO USERS (username, password, email) VALUES ('str', 'password', 'foo@bar.com'); DROP TABLE users; -- '); OWASP 27
  • 28. Eliminando SQL injection GRACIAS Stuardo -StR- Rodríguez srodriguez@maphpia.com  /in/stuardo  http://www.google.com/profiles/stuardo.str OWASP 28