|
Tamaño: 10477
Comentario:
|
Tamaño: 10610
Comentario:
|
| Los textos eliminados se marcan así. | Los textos añadidos se marcan así. |
| Línea 38: | Línea 38: |
| Para el ejemplo anterior, la función de mysql_query() o myqli_query() es usada de forma directa en el código, y esta muy bien, pero esto es tratado para un tutorial, o sea es solo una referencia o demostración de como funciona o de como se podría implementar y no para usar tal cual. | Para el ejemplo anterior, la función de '''mysql_query()''' o '''myqli_query()''' es usada de forma directa en el código, y esta muy bien, pero esto es tratado para un tutorial, o sea es solo una referencia o demostración de como funciona o de como se podría implementar y no para usar tal cual. |
| Línea 44: | Línea 44: |
| Primero que todo, el controlador que se puede utilizar para el manejo de MySQL es mysqli. En PHP existen dos formas de como manipularlo, la primera es a través de un método procedimental (funciones) y la segunda es la orientación a objetos. En cuanto a la sintaxis es prácticamente igual, pero cambia en la forma de como se referencia hacia las funciones (modo independiente o en un objeto de mysqli), por lo que ambas son válidas. | Primero que todo, el controlador que se puede utilizar para el manejo de MySQL es '''mysqli'''. En PHP existen dos formas de como manipularlo, la primera es a través de un método procedimental (funciones) y la segunda es la orientación a objetos. En cuanto a la sintaxis es prácticamente igual, pero cambia en la forma de como se referencia hacia las funciones (modo independiente o en un objeto de mysqli), por lo que ambas son válidas. |
| Línea 80: | Línea 80: |
| Si se escoge, así como se proponen los scripts (https://github.com/erangalp/database-tutorial) una extensión .ini, la carga sería: |
|
| Línea 96: | Línea 94: |
| Todo lo anterior podemos ponerlo dentro de una clase (para trabajar en orientación a objetos) y dentro de esa clase declarar una función para establecer la conexión | Todo lo anterior podemos ponerlo dentro de una clase (para trabajar en orientación a objetos) y dentro de esa clase también declarar una función para establecer la conexión |
| Línea 126: | Línea 125: |
| Consultando a la base de datos MySQL: | === Consultando a la base de datos MySQL === |
| Línea 141: | Línea 141: |
| Esto ahora se inserta en una función pública dejando de este modo: {{{#!highlight php <?php public function query($query) { // Connect to the database $connection = $this -> connect(); // Query the database $result = $connection -> query($query); return $result; } ?> }}} El parámetro que recibe esta función es $query, que sería una sentencia SQL que se desea. Existe un pero, en el caso de que sea una sentencia SELECT que requiere la devolución de resultados, quizás sea mejor separar en funciones los query y generar una solo para esta. {{{#!highlight php <?php function db_select($query) { $rows = array(); $result = db_query($query); // If query failed, return `false` if($result === false) { return false; } // If query was successful, retrieve all the rows into an array while ($row = mysqli_fetch_assoc($result)) { $rows[] = $row; } return $rows; } ?> }}} Cuando se utiliza mysqli_fetch_assoc, recibiremos columnas del objeto mysqli_result, que serán del tipo array, que a su vez estarán indexados con las columnas de la base de datos. |
Se Puede modificar esto y declarar una función pública como el siguiente ejemplo: {{{#!highlight php <?php public function query($query) { // Connect to the database $connection = $this -> connect(); // Query the database $result = $connection -> query($query); return $result; } ?> }}} El parámetro que recibe esta función es $query, que requiere ser una sentencia SQL. Existe un pero, en el caso de que sea una sentencia SELECT que requiere la devolución de resultados, quizás sea mejor separar en funciones los query y generar una solo para esta. {{{#!highlight php <?php function db_select($query) { $rows = array(); $result = db_query($query); // If query failed, return `false` if($result === false) { return false; } // If query was successful, retrieve all the rows into an array while ($row = mysqli_fetch_assoc($result)) { $rows[] = $row; } return $rows; } ?> }}} Cuando se utiliza '''mysqli_fetch_assoc''', recibiremos columnas del objeto '''mysqli_result''' que serán del tipo array, que a su vez estarán indexados con las columnas de la base de datos. === Datos de entrada === |
| Línea 183: | Línea 185: |
| Para esto mysqli tiene una función que nos ayuda mucho, mysqli_real_scape_string(). Esta función requiere de la conexión a la base de datos y los valores que queremos "limpiar". | Para esto mysqli tiene una función que nos ayuda mucho, '''mysqli_real_scape_string()'''. Esta función requiere de la conexión a la base de datos y los valores que queremos "limpiar". |
| Línea 190: | Línea 192: |
| $connection = db_connect(); return "'" . mysqli_real_escape_string($connection,$value) . "'"; } ?> }}} |
$connection = db_connect(); return "'" . mysqli_real_escape_string($connection,$value) . "'"; } ?> }}} |
| Línea 200: | Línea 203: |
include('./db.php'); $db = new Db(); |
|
| Línea 204: | Línea 211: |
| $result = db_query("INSERT INTO `users` (`name`,`email`) VALUES (" . $name . "," . $email . ")"); ?> }}} Hace mucho tiempo yo utilizo unos script de Eran Galperin, que son licenciado MIT License. Pueden descargarse desde https://github.com/erangalp/database-tutorial y la estructura creada está basado en los ficheros del repositorio. |
$result = db -> db_query("INSERT INTO `users` (`name`,`email`) VALUES (" . $name . "," . $email . ")"); $rows = $db -> db_select("SELECT * FROM `users`"); foreach($rows as $row) { echo "name: ". row['name']; echo "email: ". row['email']; } ?> }}} Todo este documento se baso en unos script de Eran Galperin, licenciados con la MIT License. Pueden descargarse desde https://github.com/erangalp/database-tutorial |
Buscando métodos para solventar el SQL-Inyection usando PHP y MySQL
Demás esta decir que PHP y MySQL son unos de las herramientas más utilizadas en el desarrollo web, para nosotros en la escuela de ICB (http://icb.utalca.cl), puede ser un problema que estamos intentando resolver, y acá detallo una primera aproximación para dar solución a este ya común problema de seguridad.
Uno de las cosas comunes que nos encontramos en la web es simplemente la forma en como funcionan las cosas, por más que vengan de sitios confiables como php.net, W3Schools o stackoverflow, debemos primero saber si funciona para el modo de aprendizaje y lo segundo (cosa que nunca hacemos) es fijarnos en lo horrible que puede estar el código. La palabra horrible no solo la describo por lo feo que puede estar el código expresado linea a linea, sino que tambien ahora también por lo comprometido en cuanto a seguridad puede estar.
El típico ejemplo que encontramos en W3Schools para la pregunta ¿Cómo usar PHP y MySQL? (How to PHP+MySQL) es el siguiente:
1 <?php
2 $servername = "localhost";
3 $username = "username";
4 $password = "password";
5 $id = $POST["code"]
6
7 // Create connection
8 $conn = new mysqli($servername, $username, $password);
9 // Check connection
10 if ($conn->connect_error) {
11 die("Connection failed: " . $conn->connect_error);
12 }
13
14 // Create database
15 $sql = "SELECT * FROM table WHERE id='$id'";
16 if ($conn->query($sql) === TRUE) {
17 echo "Query successfully";
18 } else {
19 echo "Error creating database: " . $conn->error;
20 }
21
22 $conn->close();
23 ?>
Los problemas
La entrada de texto por parte del usuario es manipulada sin ningún tipo de parser, logrando que esto sea altamente vulnerable para un ataque por inyección de SQL o simplemente por error de tipeo el usuario logre datos no deseados. Entonces como regla es realizar siempre la implementación de una rutina que filtre lo que el usuario está escribiendo en los campos de entradas para completar el SQL, o bien usar de "prepared" o "escape" para las sentencias escritas.
Para el ejemplo anterior, la función de mysql_query() o myqli_query() es usada de forma directa en el código, y esta muy bien, pero esto es tratado para un tutorial, o sea es solo una referencia o demostración de como funciona o de como se podría implementar y no para usar tal cual.
En el caso lo que sucede es que la conexión a la base de datos es creada de forma manual y otro error que es común ver, las credenciales están en el mismo archivo en que ejecutarás la sentencia. Las buenas prácticas dicen que se debería crear algo que podamos manejar, primero de un modo centralizado como por ejemplo en un fichero separado con tags identificables que permitan importar el fichero a nuestro script php, y lo Segundo es ofuscar un poco el modo o el lugar, por ejemplo si utilizas los ficheros en el /ROOT/ del sitio (visible por nosotros), intenta por lo menos dificultar la exposición este tipo de credenciales. Nuevamente, el ejemplo encontrado esto es solo a modo de tutorial.
¿Qué se puede hacer?
Primero que todo, el controlador que se puede utilizar para el manejo de MySQL es mysqli. En PHP existen dos formas de como manipularlo, la primera es a través de un método procedimental (funciones) y la segunda es la orientación a objetos. En cuanto a la sintaxis es prácticamente igual, pero cambia en la forma de como se referencia hacia las funciones (modo independiente o en un objeto de mysqli), por lo que ambas son válidas.
La forma de conexión:
La explicación para este fragmento sería; para mysqli_connect se requieren 4 parámetros esenciales como mínimo para crear la conexión (host, usuario, contraseñas, nombre de base de datos). Existen otros parámetros que dependerán de la implementación del servidor, pero para ello se puede ver el siguiente link: http://www.php.net/manual/en/mysqli.construct.php
Las siguientes lineas es validar la conexión, está demás decir que existen varios tipos de fallos de conectividad, siendo factible realizar un log file, error page, etc. quedando a la creatividad del desarrollador. El mensaje por pantalla es una opción buena y válida, pero cuidado con lo que muestras, puede dar pistas a un atacante y crear una vulnerabilidad.
Para el fragmento de código entregado requiere pasar los parámetros de conexión. Como ya se menciono anteriormente, no es una buena práctica mantener a los de acceso a la conexión de base de datos, especialmente si los archivos PHP están dentro del /ROOT/ del website. Es una buena opción mantener los parámetros de la base de datos separado de los archivos php, esto me permite hacer referencia en cualquier momento para hacer cambios generales en las aplicaciones.
Se crea un documento de texto que contenga lo siguiente:
[database] username = root password = 1234 dbname = mydb host = localhost
La extensión del fichero pasa un poco a ser irrelevante, pero generalmente uso las extensiones ini, rc o txt
La necesidad de mantener las credenciales separadas de los archivos php se resumen principalmente que ante cualquier fallo o instancia de anormalidad del servidor web, este pudiese revelar como texto en pantalla revelando las credenciales.
1 <?php
2 // Load configuration as an array. Use the actual location of your configuration file
3 $config = parse_ini_file('/ROOT/../config.ini');
4
5 // Try and connect to the database
6 $connection = mysqli_connect($config['host'],$config['username'],$config['password'],$config['dbname']);
7
8 // If connection was not successful, handle the error
9 if($connection === false) {
10 // Handle error - notify administrator, log to a file, show an error screen, etc.
11 }
12 ?>
Todo lo anterior podemos ponerlo dentro de una clase (para trabajar en orientación a objetos) y dentro de esa clase también declarar una función para establecer la conexión
1 <?php
2 class Db {
3 // The database connection
4 protected static $connection;
5
6 /**
7 * Connect to the database
8 *
9 * @return bool false on failure / mysqli MySQLi object instance on success
10 */
11 public function connect() {
12 // Try and connect to the database
13 if(!isset(self::$connection)) {
14 // Load configuration as an array. Use the actual location of your configuration file
15 $config = parse_ini_file('/ROOT/../config.ini');
16 self::$connection = new mysqli('localhost',$config['username'],$config['password'],$config['dbname']);
17 }
18
19 // If connection was not successful, handle the error
20 if(self::$connection === false) {
21 // Handle error - notify administrator, log to a file, show an error screen, etc.
22 return false;
23 }
24 return self::$connection;
25 }
26 ?>
Consultando a la base de datos MySQL
Ahora que se tiene la conexión, podemos comenzar a utilizar el motor de base de datos.
Según los tutoriales de php.net y W3Schools la forma de establecer una consulta es del siguiente modo:
Se Puede modificar esto y declarar una función pública como el siguiente ejemplo:
El parámetro que recibe esta función es $query, que requiere ser una sentencia SQL. Existe un pero, en el caso de que sea una sentencia SELECT que requiere la devolución de resultados, quizás sea mejor separar en funciones los query y generar una solo para esta.
1 <?php
2 function db_select($query) {
3 $rows = array();
4 $result = db_query($query);
5
6 // If query failed, return `false`
7 if($result === false) {
8 return false;
9 }
10
11 // If query was successful, retrieve all the rows into an array
12 while ($row = mysqli_fetch_assoc($result)) {
13 $rows[] = $row;
14 }
15 return $rows;
16 }
17 ?>
Cuando se utiliza mysqli_fetch_assoc, recibiremos columnas del objeto mysqli_result que serán del tipo array, que a su vez estarán indexados con las columnas de la base de datos.
Datos de entrada
Por último debemos generar un parser que sea dinámico para las entradas de los datos para los usuarios. El fin de este es importantisimo, puesto a que esta función sustituirá los valores de la variables declaradas para la entrada de datos cuando estos sean desconocidos. Hay algunos caracteres que usados por ejemplo entre comillas logran retornar valores o bien permite que se rompa nuestra consulta, creando una vulnerabilidad (ataque de inyección SQL).
Para esto mysqli tiene una función que nos ayuda mucho, mysqli_real_scape_string(). Esta función requiere de la conexión a la base de datos y los valores que queremos "limpiar".
La forma sería:
Y una forma de uso para eso:
1 <?php
2 // Quote and escape form submitted values
3
4 include('./db.php');
5 $db = new Db();
6
7 $name = db_quote($_POST['username']);
8 $email = db_quote($_POST['email']);
9
10 // Insert the values into the database
11 $result = db -> db_query("INSERT INTO `users` (`name`,`email`) VALUES (" . $name . "," . $email . ")");
12
13 $rows = $db -> db_select("SELECT * FROM `users`");
14
15 foreach($rows as $row) {
16
17 echo "name: ". row['name'];
18 echo "email: ". row['email'];
19 }
20
21 ?>
Todo este documento se baso en unos script de Eran Galperin, licenciados con la MIT License. Pueden descargarse desde https://github.com/erangalp/database-tutorial