SlideShare uma empresa Scribd logo

Eliminando SQL injection

Stuardo Rodriguez
Stuardo Rodriguez

Conferencia que di para OWASP Guatemala sobre SQL injection en PHP y como eliminar ese problema de seguridad el cual es el número uno del Top10 según OWASP.

1 de 28
Baixar para ler offline
Eliminando SQL injection Stuardo -StR- Rodríguez Web developer La Maphpia srodriguez@maphpia.com OWASP 19/08/2011 Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP Foundation
¿Quién soy? Stuardo Rodríguez Promotor del software libre desde 1998 Desarollador web en PHP desde 2000 Fundador comunidad PHPGT  /in/stuardo  http://www.google.com/profiles/stuardo.str Actualmente trabajando para La Maphpia OWASP 2
Eliminando SQL injection Agenda 3 categorías de posible inseguridad ¿Qué es SQL injection? Como solucionar problemas de SQL injection Como ELIMINAR problemas de SQL injection Ir un paso mas allá. OWASP 3
3 categorías de posible inseguridad Datos de entrada Datos de salida Entorno entrada sistema salida OWASP 4
3 categorías de posible inseguridad Datos de entrada Datos de salida Entorno entrada sistema salida OWASP 5
¿Qué es SQL injection? $_POST['email'] = “foo@bar.com'); DROP TABLE users; -- ”; $sql = “INSERT INTO users (username, password, email) VALUES ( '{$_POST['username']}', '{$_POST['pass']}', '{$_POST['email']}' )”; INSERT INTO USERS (username, password, email) VALUES ('str', 'password', 'foo@bar.com'); DROP TABLE users; -- '); OWASP 6
¿Qué es SQL injection? $_POST['email'] = “foo@bar.com'); DROP TABLE users; -- ”; $sql = “INSERT INTO users (username, password, email) VALUES ( '{$_POST['username']}', '{$_POST['pass']}', '{$_POST['email']}' )”; INSERT INTO USERS (username, password, email) VALUES ('str', 'password', 'foo@bar.com'); DROP TABLE users; -- '); OWASP 7
¿Qué es SQL injection? $_POST['email'] = “foo@bar.com'); DROP TABLE users; -- ”; $sql = “INSERT INTO users (username, password, email) VALUES ( '{$_POST['username']}', '{$_POST['pass']}', '{$_POST['email']}' )”; INSERT INTO USERS (username, password, email) VALUES ('str', 'password', 'foo@bar.com'); DROP TABLE users; -- '); OWASP 8
¿Qué es SQL injection? $_POST['email'] = “foo@bar.com'); DROP TABLE users; -- ”; $sql = “INSERT INTO users (username, password, email) VALUES ( '{$_POST['username']}', '{$_POST['pass']}', '{$_POST['email']}' )”; INSERT INTO USERS (username, password, email) VALUES ('str', 'password', 'foo@bar.com'); DROP TABLE users; -- '); OWASP 9
Como solucionar problemas de SQL injection Método automático magic_quotes  Existe desde PHP2  Creado para “ayudar” a programadores novatos a escribir código “seguro”  Escapeaba con cualquier ',”, o caracter NULL. OWASP 10
Como solucionar problemas de SQL injection Método automático magic_quotes  No todos los datos de entrada son para ser insertados en SQL.  No todos los datos a ser insertados vienen en un campo del formulario.  magic_quotes usa addslashes() que no es seguro para escapar texto unicode.  No todas las bases de datos usan para escapear ' OWASP 11
Como solucionar problemas de SQL injection Método automático magic_quotes  No todos los datos de entrada son para ser insertados en SQL.  No todos los datos a ser insertados vienen en un campo del formulario.  magic_quotes usa addslashes() que no es seguro para escapar texto unicode.  No todas las bases de datos usan para escapear '  GENERA IGNORANCIA! OWASP 12
Como solucionar problemas de SQL injection Método automático filter_input() filter_var() filter_input_array() filter_var_array() OWASP 13
Como solucionar problemas de SQL injection Método automático filter_input() filter_var() filter_input_array() filter_var_array() SIGEN GENERANDO IGNORANCIA! OWASP 14
Como solucionar problemas de SQL injection Método manual if (strpos($_POST['email'], ';')) throw new Exception('Invalid input'); if (strpos($_POST['email'], ''')) throw new Exception('Invalid input'); if (strpos($_POST['email'], '”')) throw new Exception('Invalid input'); if (preg_match('/from|select|delete|insert| where|drop|show|#|--|/ui',$_POST['email'])) throw new Exception('Invalid input'); OWASP 15
Como solucionar problemas de SQL injection Método manual mysql_escape_string() mysql_real_escape_string() OWASP 16
Como solucionar problemas de SQL injection $_POST['email'] = “foo@bar.com'); DROP TABLE users; -- ”; $sql = “INSERT INTO users (username, password, email) VALUES ( '{$_POST['username']}', '{$_POST['pass']}', '{$_POST['email']}' )”; INSERT INTO USERS (username, password, email) VALUES ('str', 'password', 'foo@bar.com'); DROP TABLE users; -- '); OWASP 17
Como solucionar problemas de SQL injection $_POST['email'] = “foo@bar.com'); DROP TABLE users; -- ”; $sql = sprintf(“INSERT INTO users (username, password, email) VALUES ('%s', '%s', '%s')”, mysql_real_escape_string ($_POST['username']), mysql_real_escape_string ($_POST['pass']), mysql_real_escape_string ($_POST['email']) )”; INSERT INTO USERS (username, password, email) VALUES ('str', 'password', 'foo@bar.com'); DROP TABLE users; -- '); OWASP 18
Como ELIMINAR problemas de SQL injection PDO ... OWASP 19
Como ELIMINAR problemas de SQL injection $_POST['email'] = “foo@bar.com'); DROP TABLE users; -- ”; $sql = sprintf(“INSERT INTO users (username, password, email) VALUES ('%s', '%s', '%s')”, mysql_real_escape_string ($_POST['username']), mysql_real_escape_string ($_POST['pass']), mysql_real_escape_string ($_POST['email']) )”; INSERT INTO USERS (username, password, email) VALUES ('str', 'password', 'foo@bar.com'); DROP TABLE users; -- '); OWASP 20
Como ELIMINAR problemas de SQL injection $_POST['email'] = “foo@bar.com'); DROP TABLE users; -- ”; $sql = $db->prepare('INSERT INTO users (username, password, email) VALUES (:username, :pass, :email)'); $sql->exec($_POST); INSERT INTO USERS (username, password, email) VALUES ('str', 'password', 'foo@bar.com'); DROP TABLE users; -- '); OWASP 21
Como ELIMINAR problemas de SQL injection $_POST['email'] = “foo@bar.com'); DROP TABLE users; -- ”; $sql = $db->prepare('INSERT INTO users (username, password, email) VALUES (:username, :pass, :email)'); $sql->exec($_POST); INSERT INTO USERS (username, password, email) VALUES ('str', 'password', 'foo@bar.com'); DROP TABLE users; -- '); OWASP 22
Como ELIMINAR problemas de SQL injection PDO Módulo PECL para PHP 5.0 Nace de DB y MDB de PEAR Por default en PHP 5.1 OWASP 23
Como ELIMINAR problemas de SQL injection $_POST['email'] = “foo@bar.com'); DROP TABLE users; -- ”; $db = new PDO('mysql:host=localhost; dbname=example', $user, $password); $sql = $db->prepare('INSERT INTO users (username, password, email) VALUES (:username, :pass, :email)'); $sql->exec ($_POST); OWASP 24
Ir un paso mas allá. PDO es una capa de abstracción de acceso a datos Usar una capa de abstracción de datos Doctrine OWASP 25
Ir un paso mas allá. $_POST['email'] = “foo@bar.com'); DROP TABLE users; -- ”; $sql = $db->prepare('INSERT INTO users (username, password, email) VALUES (:username, :pass, :email)'); $sql->exec($_POST); INSERT INTO USERS (username, password, email) VALUES ('str', 'password', 'foo@bar.com'); DROP TABLE users; -- '); OWASP 26
Ir un paso mas allá. $_POST['email'] = “foo@bar.com'); DROP TABLE users; -- ”; $user = new User(); $user->insert($_POST); INSERT INTO USERS (username, password, email) VALUES ('str', 'password', 'foo@bar.com'); DROP TABLE users; -- '); OWASP 27
Eliminando SQL injection GRACIAS Stuardo -StR- Rodríguez srodriguez@maphpia.com  /in/stuardo  http://www.google.com/profiles/stuardo.str OWASP 28

Recomendados

(In) seguridad web
(In) seguridad web(In) seguridad web
(In) seguridad web
Eventos Creativos
 
Consultas
ConsultasConsultas
Consultas
pabloantoniofidel
 
Tm13 introduccion al_sql
Tm13 introduccion al_sqlTm13 introduccion al_sql
Tm13 introduccion al_sql
Julio Pari
 
Command oracle
Command oracleCommand oracle
Command oracle
dnrdeleon
 
Sql injection
Sql injectionSql injection
Sql injection
Minoxx
 
Creacion de bases de datos en SQL Server
Creacion de bases de datos en SQL ServerCreacion de bases de datos en SQL Server
Creacion de bases de datos en SQL Server
RayoMonster
 
Poo 4 arraylist_implem
Poo 4 arraylist_implemPoo 4 arraylist_implem
Poo 4 arraylist_implem
jlmanmons
 
SQL Injection Joinea 2010
SQL Injection Joinea 2010SQL Injection Joinea 2010
SQL Injection Joinea 2010
magnobalt
 

Recomendados

(In) seguridad web
(In) seguridad web(In) seguridad web
(In) seguridad web
Eventos Creativos
 
Consultas
ConsultasConsultas
Consultas
pabloantoniofidel
 
Tm13 introduccion al_sql
Tm13 introduccion al_sqlTm13 introduccion al_sql
Tm13 introduccion al_sql
Julio Pari
 
Command oracle
Command oracleCommand oracle
Command oracle
dnrdeleon
 
Sql injection
Sql injectionSql injection
Sql injection
Minoxx
 
Creacion de bases de datos en SQL Server
Creacion de bases de datos en SQL ServerCreacion de bases de datos en SQL Server
Creacion de bases de datos en SQL Server
RayoMonster
 
Poo 4 arraylist_implem
Poo 4 arraylist_implemPoo 4 arraylist_implem
Poo 4 arraylist_implem
jlmanmons
 
SQL Injection Joinea 2010
SQL Injection Joinea 2010SQL Injection Joinea 2010
SQL Injection Joinea 2010
magnobalt
 
Wp config.php
Wp config.phpWp config.php
Wp config.php
gregozz
 
Sentencias create
Sentencias createSentencias create
Sentencias create
Base de Datos
 
NOTACIÓN POSTFIJA E INFIJA - JAVA
NOTACIÓN POSTFIJA E INFIJA - JAVANOTACIÓN POSTFIJA E INFIJA - JAVA
NOTACIÓN POSTFIJA E INFIJA - JAVA
Shirley Contreras Ulloa
 
Doctrine2 sf2Vigo
Doctrine2 sf2VigoDoctrine2 sf2Vigo
Doctrine2 sf2Vigo
Ignacio Martín
 
Tallerprogramacion
TallerprogramacionTallerprogramacion
Tallerprogramacion
johanadoria
 
Symfony2 - ACL
Symfony2 - ACLSymfony2 - ACL
Symfony2 - ACL
Gonzalo Alonso
 
Modulo de programacion sql unidad II
Modulo de programacion sql unidad IIModulo de programacion sql unidad II
Modulo de programacion sql unidad II
firemas
 
Taler bd # 3
Taler bd # 3Taler bd # 3
Taler bd # 3
Beatriz Salazar
 
Taller de MySQL (DDL)
Taller de MySQL (DDL)Taller de MySQL (DDL)
Taller de MySQL (DDL)
mgpc
 
Gustavo php
Gustavo phpGustavo php
Gustavo php
Gustavo
 
Aplicaciones para sistemas distribuidos slide
Aplicaciones para sistemas distribuidos slideAplicaciones para sistemas distribuidos slide
Aplicaciones para sistemas distribuidos slide
marieuri
 
Triggers
TriggersTriggers
Triggers
bdatos
 
Copilacion de ejercicios en java
Copilacion de ejercicios en javaCopilacion de ejercicios en java
Copilacion de ejercicios en java
Jonathan Israel
 
Inyeccion sql by Anonymous - Americalatina
Inyeccion sql by Anonymous - AmericalatinaInyeccion sql by Anonymous - Americalatina
Inyeccion sql by Anonymous - Americalatina
Anonymous - Americalatina Anonymous - Americalatina
 
Mantenimiento de Usuarios usando MVC ver1
Mantenimiento de Usuarios usando MVC ver1Mantenimiento de Usuarios usando MVC ver1
Mantenimiento de Usuarios usando MVC ver1
Jose Luis Orosco Marcos
 
Introduccion a SQL
Introduccion a SQL Introduccion a SQL
Introduccion a SQL
Renatta Rodriguez
 
Sesion 3
Sesion 3Sesion 3
Sesion 3
futurodelweb.com
 
Actividades unidad 3 pacheco
Actividades unidad 3 pachecoActividades unidad 3 pacheco
Actividades unidad 3 pacheco
UV ADMINISTRACION (SISTEMAS)
 
Sentencias SQL Update y Delete
Sentencias SQL Update y DeleteSentencias SQL Update y Delete
Sentencias SQL Update y Delete
Emerson Garay
 
Mecanismos de protección contra inyección sql
Mecanismos de protección contra inyección sqlMecanismos de protección contra inyección sql
Mecanismos de protección contra inyección sql
Alejandra Toledano
 
Ejemplos de php_mysql
Ejemplos de php_mysqlEjemplos de php_mysql
Ejemplos de php_mysql
I LG
 
Inyecciones sql para todos
Inyecciones sql para todosInyecciones sql para todos
Inyecciones sql para todos
csaralg
 

Mais conteúdo relacionado

Mais procurados

Wp config.php
Wp config.phpWp config.php
Wp config.php
gregozz
 
Sentencias create
Sentencias createSentencias create
Sentencias create
Base de Datos
 
NOTACIÓN POSTFIJA E INFIJA - JAVA
NOTACIÓN POSTFIJA E INFIJA - JAVANOTACIÓN POSTFIJA E INFIJA - JAVA
NOTACIÓN POSTFIJA E INFIJA - JAVA
Shirley Contreras Ulloa
 
Doctrine2 sf2Vigo
Doctrine2 sf2VigoDoctrine2 sf2Vigo
Doctrine2 sf2Vigo
Ignacio Martín
 
Tallerprogramacion
TallerprogramacionTallerprogramacion
Tallerprogramacion
johanadoria
 
Symfony2 - ACL
Symfony2 - ACLSymfony2 - ACL
Symfony2 - ACL
Gonzalo Alonso
 
Modulo de programacion sql unidad II
Modulo de programacion sql unidad IIModulo de programacion sql unidad II
Modulo de programacion sql unidad II
firemas
 
Taler bd # 3
Taler bd # 3Taler bd # 3
Taler bd # 3
Beatriz Salazar
 
Taller de MySQL (DDL)
Taller de MySQL (DDL)Taller de MySQL (DDL)
Taller de MySQL (DDL)
mgpc
 
Gustavo php
Gustavo phpGustavo php
Gustavo php
Gustavo
 
Aplicaciones para sistemas distribuidos slide
Aplicaciones para sistemas distribuidos slideAplicaciones para sistemas distribuidos slide
Aplicaciones para sistemas distribuidos slide
marieuri
 
Triggers
TriggersTriggers
Triggers
bdatos
 
Copilacion de ejercicios en java
Copilacion de ejercicios en javaCopilacion de ejercicios en java
Copilacion de ejercicios en java
Jonathan Israel
 
Inyeccion sql by Anonymous - Americalatina
Inyeccion sql by Anonymous - AmericalatinaInyeccion sql by Anonymous - Americalatina
Inyeccion sql by Anonymous - Americalatina
Anonymous - Americalatina Anonymous - Americalatina
 
Mantenimiento de Usuarios usando MVC ver1
Mantenimiento de Usuarios usando MVC ver1Mantenimiento de Usuarios usando MVC ver1
Mantenimiento de Usuarios usando MVC ver1
Jose Luis Orosco Marcos
 
Introduccion a SQL
Introduccion a SQL Introduccion a SQL
Introduccion a SQL
Renatta Rodriguez
 
Sesion 3
Sesion 3Sesion 3
Sesion 3
futurodelweb.com
 
Actividades unidad 3 pacheco
Actividades unidad 3 pachecoActividades unidad 3 pacheco
Actividades unidad 3 pacheco
UV ADMINISTRACION (SISTEMAS)
 
Sentencias SQL Update y Delete
Sentencias SQL Update y DeleteSentencias SQL Update y Delete
Sentencias SQL Update y Delete
Emerson Garay
 

Mais procurados (19)

Wp config.php
Wp config.phpWp config.php
Wp config.php
 
Sentencias create
Sentencias createSentencias create
Sentencias create
 
NOTACIÓN POSTFIJA E INFIJA - JAVA
NOTACIÓN POSTFIJA E INFIJA - JAVANOTACIÓN POSTFIJA E INFIJA - JAVA
NOTACIÓN POSTFIJA E INFIJA - JAVA
 
Doctrine2 sf2Vigo
Doctrine2 sf2VigoDoctrine2 sf2Vigo
Doctrine2 sf2Vigo
 
Tallerprogramacion
TallerprogramacionTallerprogramacion
Tallerprogramacion
 
Symfony2 - ACL
Symfony2 - ACLSymfony2 - ACL
Symfony2 - ACL
 
Modulo de programacion sql unidad II
Modulo de programacion sql unidad IIModulo de programacion sql unidad II
Modulo de programacion sql unidad II
 
Taler bd # 3
Taler bd # 3Taler bd # 3
Taler bd # 3
 
Taller de MySQL (DDL)
Taller de MySQL (DDL)Taller de MySQL (DDL)
Taller de MySQL (DDL)
 
Gustavo php
Gustavo phpGustavo php
Gustavo php
 
Aplicaciones para sistemas distribuidos slide
Aplicaciones para sistemas distribuidos slideAplicaciones para sistemas distribuidos slide
Aplicaciones para sistemas distribuidos slide
 
Triggers
TriggersTriggers
Triggers
 
Copilacion de ejercicios en java
Copilacion de ejercicios en javaCopilacion de ejercicios en java
Copilacion de ejercicios en java
 
Inyeccion sql by Anonymous - Americalatina
Inyeccion sql by Anonymous - AmericalatinaInyeccion sql by Anonymous - Americalatina
Inyeccion sql by Anonymous - Americalatina
 
Mantenimiento de Usuarios usando MVC ver1
Mantenimiento de Usuarios usando MVC ver1Mantenimiento de Usuarios usando MVC ver1
Mantenimiento de Usuarios usando MVC ver1
 
Introduccion a SQL
Introduccion a SQL Introduccion a SQL
Introduccion a SQL
 
Sesion 3
Sesion 3Sesion 3
Sesion 3
 
Actividades unidad 3 pacheco
Actividades unidad 3 pachecoActividades unidad 3 pacheco
Actividades unidad 3 pacheco
 
Sentencias SQL Update y Delete
Sentencias SQL Update y DeleteSentencias SQL Update y Delete
Sentencias SQL Update y Delete
 

Semelhante a Eliminando SQL injection

Mecanismos de protección contra inyección sql
Mecanismos de protección contra inyección sqlMecanismos de protección contra inyección sql
Mecanismos de protección contra inyección sql
Alejandra Toledano
 
Ejemplos de php_mysql
Ejemplos de php_mysqlEjemplos de php_mysql
Ejemplos de php_mysql
I LG
 
Inyecciones sql para todos
Inyecciones sql para todosInyecciones sql para todos
Inyecciones sql para todos
csaralg
 
INYECCION SQL(SEGURIDAD DE LA INFORMACION)
INYECCION SQL(SEGURIDAD DE LA INFORMACION)INYECCION SQL(SEGURIDAD DE LA INFORMACION)
INYECCION SQL(SEGURIDAD DE LA INFORMACION)
toshko86
 
Guia N5 Proyectos Web Consultas Php Y My Sql
Guia N5 Proyectos Web Consultas Php Y My SqlGuia N5 Proyectos Web Consultas Php Y My Sql
Guia N5 Proyectos Web Consultas Php Y My Sql
Jose Ponce
 
Base de datos dinamicas
Base de datos dinamicasBase de datos dinamicas
Base de datos dinamicas
el_rosales
 
Php y my sql con manejo de sesiones
Php y my sql con manejo de sesionesPhp y my sql con manejo de sesiones
Php y my sql con manejo de sesiones
capo1988
 
Jquery para principianes
Jquery para principianesJquery para principianes
Jquery para principianes
Mauro Gomez Mejia
 
J M E R L I N P H P
J M E R L I N P H PJ M E R L I N P H P
J M E R L I N P H P
Mauro Gomez Mejia
 
Php y MySQL
Php y MySQLPhp y MySQL
Php y MySQL
Karis
 
Sesión 12 -Diseño de BD_Ciclo_3.pptx
Sesión 12 -Diseño de BD_Ciclo_3.pptxSesión 12 -Diseño de BD_Ciclo_3.pptx
Sesión 12 -Diseño de BD_Ciclo_3.pptx
John McClane
 
Práctica SQL en MYSQL
Práctica SQL en MYSQLPráctica SQL en MYSQL
Práctica SQL en MYSQL
lissette_torrealba
 
Asegúr@IT 7: Serialized SQL Injection
Asegúr@IT 7: Serialized SQL InjectionAsegúr@IT 7: Serialized SQL Injection
Asegúr@IT 7: Serialized SQL Injection
Chema Alonso
 
Inyección_sql
Inyección_sqlInyección_sql
Inyección_sql
jhom123
 
Jacqueline nuñez pacco
Jacqueline nuñez paccoJacqueline nuñez pacco
Jacqueline nuñez pacco
Jacqueline Nuñez Pacco
 
Jacqueline nuñez pacco
Jacqueline nuñez paccoJacqueline nuñez pacco
Jacqueline nuñez pacco
Jacqueline Nuñez Pacco
 
Julissa huaman hilari
Julissa huaman hilariJulissa huaman hilari
Julissa huaman hilari
Julissa Huaman Hilari
 
Apuntes php
Apuntes phpApuntes php
Apuntes php
Eduardo Rafael Petla
 
Documentacion jhon elvis_quispe_gutierrez
Documentacion jhon elvis_quispe_gutierrezDocumentacion jhon elvis_quispe_gutierrez
Documentacion jhon elvis_quispe_gutierrez
J̶h̶o̶n̶ Q̶u̶i̶G̶u̶t̶
 
Loguin
LoguinLoguin
Loguin
orlanodavidescobar
 

Semelhante a Eliminando SQL injection (20)

Mecanismos de protección contra inyección sql
Mecanismos de protección contra inyección sqlMecanismos de protección contra inyección sql
Mecanismos de protección contra inyección sql
 
Ejemplos de php_mysql
Ejemplos de php_mysqlEjemplos de php_mysql
Ejemplos de php_mysql
 
Inyecciones sql para todos
Inyecciones sql para todosInyecciones sql para todos
Inyecciones sql para todos
 
INYECCION SQL(SEGURIDAD DE LA INFORMACION)
INYECCION SQL(SEGURIDAD DE LA INFORMACION)INYECCION SQL(SEGURIDAD DE LA INFORMACION)
INYECCION SQL(SEGURIDAD DE LA INFORMACION)
 
Guia N5 Proyectos Web Consultas Php Y My Sql
Guia N5 Proyectos Web Consultas Php Y My SqlGuia N5 Proyectos Web Consultas Php Y My Sql
Guia N5 Proyectos Web Consultas Php Y My Sql
 
Base de datos dinamicas
Base de datos dinamicasBase de datos dinamicas
Base de datos dinamicas
 
Php y my sql con manejo de sesiones
Php y my sql con manejo de sesionesPhp y my sql con manejo de sesiones
Php y my sql con manejo de sesiones
 
Jquery para principianes
Jquery para principianesJquery para principianes
Jquery para principianes
 
J M E R L I N P H P
J M E R L I N P H PJ M E R L I N P H P
J M E R L I N P H P
 
Php y MySQL
Php y MySQLPhp y MySQL
Php y MySQL
 
Sesión 12 -Diseño de BD_Ciclo_3.pptx
Sesión 12 -Diseño de BD_Ciclo_3.pptxSesión 12 -Diseño de BD_Ciclo_3.pptx
Sesión 12 -Diseño de BD_Ciclo_3.pptx
 
Práctica SQL en MYSQL
Práctica SQL en MYSQLPráctica SQL en MYSQL
Práctica SQL en MYSQL
 
Asegúr@IT 7: Serialized SQL Injection
Asegúr@IT 7: Serialized SQL InjectionAsegúr@IT 7: Serialized SQL Injection
Asegúr@IT 7: Serialized SQL Injection
 
Inyección_sql
Inyección_sqlInyección_sql
Inyección_sql
 
Jacqueline nuñez pacco
Jacqueline nuñez paccoJacqueline nuñez pacco
Jacqueline nuñez pacco
 
Jacqueline nuñez pacco
Jacqueline nuñez paccoJacqueline nuñez pacco
Jacqueline nuñez pacco
 
Julissa huaman hilari
Julissa huaman hilariJulissa huaman hilari
Julissa huaman hilari
 
Apuntes php
Apuntes phpApuntes php
Apuntes php
 
Documentacion jhon elvis_quispe_gutierrez
Documentacion jhon elvis_quispe_gutierrezDocumentacion jhon elvis_quispe_gutierrez
Documentacion jhon elvis_quispe_gutierrez
 
Loguin
LoguinLoguin
Loguin
 

Mais de Stuardo Rodriguez

Blockchain 3.0 - eosio
Blockchain 3.0 - eosioBlockchain 3.0 - eosio
Blockchain 3.0 - eosio
Stuardo Rodriguez
 
Dti datos abiertos
Dti datos abiertosDti datos abiertos
Dti datos abiertos
Stuardo Rodriguez
 
reCuento
reCuentoreCuento
reCuento
Stuardo Rodriguez
 
Comunidades libres 3.0
Comunidades libres 3.0Comunidades libres 3.0
Comunidades libres 3.0
Stuardo Rodriguez
 
Guatemala Transparente @ hackatón Desarrollando America Latina 2014
Guatemala Transparente @ hackatón Desarrollando America Latina 2014Guatemala Transparente @ hackatón Desarrollando America Latina 2014
Guatemala Transparente @ hackatón Desarrollando America Latina 2014
Stuardo Rodriguez
 
Usando SVN para instalar un Wordpress seguro en Ubuntu Server
Usando SVN para instalar un Wordpress seguro en Ubuntu ServerUsando SVN para instalar un Wordpress seguro en Ubuntu Server
Usando SVN para instalar un Wordpress seguro en Ubuntu ServerStuardo Rodriguez
 

Mais de Stuardo Rodriguez (6)

Blockchain 3.0 - eosio
Blockchain 3.0 - eosioBlockchain 3.0 - eosio
Blockchain 3.0 - eosio
 
Dti datos abiertos
Dti datos abiertosDti datos abiertos
Dti datos abiertos
 
reCuento
reCuentoreCuento
reCuento
 
Comunidades libres 3.0
Comunidades libres 3.0Comunidades libres 3.0
Comunidades libres 3.0
 
Guatemala Transparente @ hackatón Desarrollando America Latina 2014
Guatemala Transparente @ hackatón Desarrollando America Latina 2014Guatemala Transparente @ hackatón Desarrollando America Latina 2014
Guatemala Transparente @ hackatón Desarrollando America Latina 2014
 
Usando SVN para instalar un Wordpress seguro en Ubuntu Server
Usando SVN para instalar un Wordpress seguro en Ubuntu ServerUsando SVN para instalar un Wordpress seguro en Ubuntu Server
Usando SVN para instalar un Wordpress seguro en Ubuntu Server
 

Último

625204013-64-Camino-a-----La-Lectura.pdf
625204013-64-Camino-a-----La-Lectura.pdf625204013-64-Camino-a-----La-Lectura.pdf
625204013-64-Camino-a-----La-Lectura.pdf
yuberpalma
 
Informació Projecte Iniciativa TIC SOPRA STERIA.pdf
Informació Projecte Iniciativa TIC SOPRA STERIA.pdfInformació Projecte Iniciativa TIC SOPRA STERIA.pdf
Informació Projecte Iniciativa TIC SOPRA STERIA.pdf
Festibity
 
Manual de Soporte y mantenimiento de equipo de cómputos
Manual de Soporte y mantenimiento de equipo de cómputosManual de Soporte y mantenimiento de equipo de cómputos
Manual de Soporte y mantenimiento de equipo de cómputos
cbtechchihuahua
 
Manual de soporte y mantenimiento de equipo de cómputo
Manual de soporte y mantenimiento de equipo de cómputoManual de soporte y mantenimiento de equipo de cómputo
Manual de soporte y mantenimiento de equipo de cómputo
doctorsoluciones34
 
TIC en educacion.rtf.docxlolololololololo
TIC en educacion.rtf.docxlolololololololoTIC en educacion.rtf.docxlolololololololo
TIC en educacion.rtf.docxlolololololololo
KukiiSanchez
 
REVISTA TECNOLOGICA PARA EL DESARROLLO HUMANO
REVISTA TECNOLOGICA PARA EL DESARROLLO HUMANOREVISTA TECNOLOGICA PARA EL DESARROLLO HUMANO
REVISTA TECNOLOGICA PARA EL DESARROLLO HUMANO
gisellearanguren1
 
Todo sobre la tarjeta de video (Bienvenidos a mi blog personal)
Todo sobre la tarjeta de video (Bienvenidos a mi blog personal)Todo sobre la tarjeta de video (Bienvenidos a mi blog personal)
Todo sobre la tarjeta de video (Bienvenidos a mi blog personal)
AbrahamCastillo42
 
mantenimiento de chasis y carroceria1.pptx
mantenimiento de chasis y carroceria1.pptxmantenimiento de chasis y carroceria1.pptx
mantenimiento de chasis y carroceria1.pptx
MiguelAtencio10
 
Manual Web soporte y mantenimiento de equipo de computo
Manual Web soporte y mantenimiento de equipo de computoManual Web soporte y mantenimiento de equipo de computo
Manual Web soporte y mantenimiento de equipo de computo
mantenimientocarbra6
 
Presentación de Tic en educación y sobre blogger
Presentación de Tic en educación y sobre bloggerPresentación de Tic en educación y sobre blogger
Presentación de Tic en educación y sobre blogger
larapalaciosmonzon28
 
edublogs info.docx asdasfasfsawqrdqwfqwfqwfq
edublogs info.docx asdasfasfsawqrdqwfqwfqwfqedublogs info.docx asdasfasfsawqrdqwfqwfqwfq
edublogs info.docx asdasfasfsawqrdqwfqwfqwfq
larapalaciosmonzon28
 
Informació Projecte Iniciativa TIC HPE.pdf
Informació Projecte Iniciativa TIC HPE.pdfInformació Projecte Iniciativa TIC HPE.pdf
Informació Projecte Iniciativa TIC HPE.pdf
Festibity
 
Projecte Iniciativa TIC 2024 SOPRA STERIA. inCV.pdf
Projecte Iniciativa TIC 2024 SOPRA STERIA. inCV.pdfProjecte Iniciativa TIC 2024 SOPRA STERIA. inCV.pdf
Projecte Iniciativa TIC 2024 SOPRA STERIA. inCV.pdf
Festibity
 
Presentación Seguridad Digital Profesional Azul Oscuro (1).pdf
Presentación Seguridad Digital Profesional Azul Oscuro (1).pdfPresentación Seguridad Digital Profesional Azul Oscuro (1).pdf
Presentación Seguridad Digital Profesional Azul Oscuro (1).pdf
giampierdiaz5
 
Modo test refrigeradores y codigos de errores 2018 V2.pdf
Modo test refrigeradores y codigos de errores 2018 V2.pdfModo test refrigeradores y codigos de errores 2018 V2.pdf
Modo test refrigeradores y codigos de errores 2018 V2.pdf
ranierglez
 
Second Life, informe de actividad del maestro Tapia
Second Life, informe de actividad del maestro TapiaSecond Life, informe de actividad del maestro Tapia
Second Life, informe de actividad del maestro Tapia
al050121024
 
EXAMEN DE TOPOGRAFIA RESUELTO-2017 CURSO DE UNIVERSIDAD
EXAMEN DE TOPOGRAFIA RESUELTO-2017 CURSO DE UNIVERSIDADEXAMEN DE TOPOGRAFIA RESUELTO-2017 CURSO DE UNIVERSIDAD
EXAMEN DE TOPOGRAFIA RESUELTO-2017 CURSO DE UNIVERSIDAD
AngelCristhianMB
 
El uso de las TIC por Cecilia Pozos S..pptx
El uso de las TIC por Cecilia Pozos S..pptxEl uso de las TIC por Cecilia Pozos S..pptx
El uso de las TIC por Cecilia Pozos S..pptx
cecypozos703
 
Refrigeradores Samsung Modo Test y Forzado
Refrigeradores Samsung Modo Test y ForzadoRefrigeradores Samsung Modo Test y Forzado
Refrigeradores Samsung Modo Test y Forzado
NicandroMartinez2
 
Infografia TCP/IP (Transmission Control Protocol/Internet Protocol)
Infografia TCP/IP (Transmission Control Protocol/Internet Protocol)Infografia TCP/IP (Transmission Control Protocol/Internet Protocol)
Infografia TCP/IP (Transmission Control Protocol/Internet Protocol)
codesiret
 

Último (20)

625204013-64-Camino-a-----La-Lectura.pdf
625204013-64-Camino-a-----La-Lectura.pdf625204013-64-Camino-a-----La-Lectura.pdf
625204013-64-Camino-a-----La-Lectura.pdf
 
Informació Projecte Iniciativa TIC SOPRA STERIA.pdf
Informació Projecte Iniciativa TIC SOPRA STERIA.pdfInformació Projecte Iniciativa TIC SOPRA STERIA.pdf
Informació Projecte Iniciativa TIC SOPRA STERIA.pdf
 
Manual de Soporte y mantenimiento de equipo de cómputos
Manual de Soporte y mantenimiento de equipo de cómputosManual de Soporte y mantenimiento de equipo de cómputos
Manual de Soporte y mantenimiento de equipo de cómputos
 
Manual de soporte y mantenimiento de equipo de cómputo
Manual de soporte y mantenimiento de equipo de cómputoManual de soporte y mantenimiento de equipo de cómputo
Manual de soporte y mantenimiento de equipo de cómputo
 
TIC en educacion.rtf.docxlolololololololo
TIC en educacion.rtf.docxlolololololololoTIC en educacion.rtf.docxlolololololololo
TIC en educacion.rtf.docxlolololololololo
 
REVISTA TECNOLOGICA PARA EL DESARROLLO HUMANO
REVISTA TECNOLOGICA PARA EL DESARROLLO HUMANOREVISTA TECNOLOGICA PARA EL DESARROLLO HUMANO
REVISTA TECNOLOGICA PARA EL DESARROLLO HUMANO
 
Todo sobre la tarjeta de video (Bienvenidos a mi blog personal)
Todo sobre la tarjeta de video (Bienvenidos a mi blog personal)Todo sobre la tarjeta de video (Bienvenidos a mi blog personal)
Todo sobre la tarjeta de video (Bienvenidos a mi blog personal)
 
mantenimiento de chasis y carroceria1.pptx
mantenimiento de chasis y carroceria1.pptxmantenimiento de chasis y carroceria1.pptx
mantenimiento de chasis y carroceria1.pptx
 
Manual Web soporte y mantenimiento de equipo de computo
Manual Web soporte y mantenimiento de equipo de computoManual Web soporte y mantenimiento de equipo de computo
Manual Web soporte y mantenimiento de equipo de computo
 
Presentación de Tic en educación y sobre blogger
Presentación de Tic en educación y sobre bloggerPresentación de Tic en educación y sobre blogger
Presentación de Tic en educación y sobre blogger
 
edublogs info.docx asdasfasfsawqrdqwfqwfqwfq
edublogs info.docx asdasfasfsawqrdqwfqwfqwfqedublogs info.docx asdasfasfsawqrdqwfqwfqwfq
edublogs info.docx asdasfasfsawqrdqwfqwfqwfq
 
Informació Projecte Iniciativa TIC HPE.pdf
Informació Projecte Iniciativa TIC HPE.pdfInformació Projecte Iniciativa TIC HPE.pdf
Informació Projecte Iniciativa TIC HPE.pdf
 
Projecte Iniciativa TIC 2024 SOPRA STERIA. inCV.pdf
Projecte Iniciativa TIC 2024 SOPRA STERIA. inCV.pdfProjecte Iniciativa TIC 2024 SOPRA STERIA. inCV.pdf
Projecte Iniciativa TIC 2024 SOPRA STERIA. inCV.pdf
 
Presentación Seguridad Digital Profesional Azul Oscuro (1).pdf
Presentación Seguridad Digital Profesional Azul Oscuro (1).pdfPresentación Seguridad Digital Profesional Azul Oscuro (1).pdf
Presentación Seguridad Digital Profesional Azul Oscuro (1).pdf
 
Modo test refrigeradores y codigos de errores 2018 V2.pdf
Modo test refrigeradores y codigos de errores 2018 V2.pdfModo test refrigeradores y codigos de errores 2018 V2.pdf
Modo test refrigeradores y codigos de errores 2018 V2.pdf
 
Second Life, informe de actividad del maestro Tapia
Second Life, informe de actividad del maestro TapiaSecond Life, informe de actividad del maestro Tapia
Second Life, informe de actividad del maestro Tapia
 
EXAMEN DE TOPOGRAFIA RESUELTO-2017 CURSO DE UNIVERSIDAD
EXAMEN DE TOPOGRAFIA RESUELTO-2017 CURSO DE UNIVERSIDADEXAMEN DE TOPOGRAFIA RESUELTO-2017 CURSO DE UNIVERSIDAD
EXAMEN DE TOPOGRAFIA RESUELTO-2017 CURSO DE UNIVERSIDAD
 
El uso de las TIC por Cecilia Pozos S..pptx
El uso de las TIC por Cecilia Pozos S..pptxEl uso de las TIC por Cecilia Pozos S..pptx
El uso de las TIC por Cecilia Pozos S..pptx
 
Refrigeradores Samsung Modo Test y Forzado
Refrigeradores Samsung Modo Test y ForzadoRefrigeradores Samsung Modo Test y Forzado
Refrigeradores Samsung Modo Test y Forzado
 
Infografia TCP/IP (Transmission Control Protocol/Internet Protocol)
Infografia TCP/IP (Transmission Control Protocol/Internet Protocol)Infografia TCP/IP (Transmission Control Protocol/Internet Protocol)
Infografia TCP/IP (Transmission Control Protocol/Internet Protocol)
 

Eliminando SQL injection

  • 1. Eliminando SQL injection Stuardo -StR- Rodríguez Web developer La Maphpia srodriguez@maphpia.com OWASP 19/08/2011 Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP Foundation
  • 2. ¿Quién soy? Stuardo Rodríguez Promotor del software libre desde 1998 Desarollador web en PHP desde 2000 Fundador comunidad PHPGT  /in/stuardo  http://www.google.com/profiles/stuardo.str Actualmente trabajando para La Maphpia OWASP 2
  • 3. Eliminando SQL injection Agenda 3 categorías de posible inseguridad ¿Qué es SQL injection? Como solucionar problemas de SQL injection Como ELIMINAR problemas de SQL injection Ir un paso mas allá. OWASP 3
  • 4. 3 categorías de posible inseguridad Datos de entrada Datos de salida Entorno entrada sistema salida OWASP 4
  • 5. 3 categorías de posible inseguridad Datos de entrada Datos de salida Entorno entrada sistema salida OWASP 5
  • 6. ¿Qué es SQL injection? $_POST['email'] = “foo@bar.com'); DROP TABLE users; -- ”; $sql = “INSERT INTO users (username, password, email) VALUES ( '{$_POST['username']}', '{$_POST['pass']}', '{$_POST['email']}' )”; INSERT INTO USERS (username, password, email) VALUES ('str', 'password', 'foo@bar.com'); DROP TABLE users; -- '); OWASP 6
  • 7. ¿Qué es SQL injection? $_POST['email'] = “foo@bar.com'); DROP TABLE users; -- ”; $sql = “INSERT INTO users (username, password, email) VALUES ( '{$_POST['username']}', '{$_POST['pass']}', '{$_POST['email']}' )”; INSERT INTO USERS (username, password, email) VALUES ('str', 'password', 'foo@bar.com'); DROP TABLE users; -- '); OWASP 7
  • 8. ¿Qué es SQL injection? $_POST['email'] = “foo@bar.com'); DROP TABLE users; -- ”; $sql = “INSERT INTO users (username, password, email) VALUES ( '{$_POST['username']}', '{$_POST['pass']}', '{$_POST['email']}' )”; INSERT INTO USERS (username, password, email) VALUES ('str', 'password', 'foo@bar.com'); DROP TABLE users; -- '); OWASP 8
  • 9. ¿Qué es SQL injection? $_POST['email'] = “foo@bar.com'); DROP TABLE users; -- ”; $sql = “INSERT INTO users (username, password, email) VALUES ( '{$_POST['username']}', '{$_POST['pass']}', '{$_POST['email']}' )”; INSERT INTO USERS (username, password, email) VALUES ('str', 'password', 'foo@bar.com'); DROP TABLE users; -- '); OWASP 9
  • 10. Como solucionar problemas de SQL injection Método automático magic_quotes  Existe desde PHP2  Creado para “ayudar” a programadores novatos a escribir código “seguro”  Escapeaba con cualquier ',”, o caracter NULL. OWASP 10
  • 11. Como solucionar problemas de SQL injection Método automático magic_quotes  No todos los datos de entrada son para ser insertados en SQL.  No todos los datos a ser insertados vienen en un campo del formulario.  magic_quotes usa addslashes() que no es seguro para escapar texto unicode.  No todas las bases de datos usan para escapear ' OWASP 11
  • 12. Como solucionar problemas de SQL injection Método automático magic_quotes  No todos los datos de entrada son para ser insertados en SQL.  No todos los datos a ser insertados vienen en un campo del formulario.  magic_quotes usa addslashes() que no es seguro para escapar texto unicode.  No todas las bases de datos usan para escapear '  GENERA IGNORANCIA! OWASP 12
  • 13. Como solucionar problemas de SQL injection Método automático filter_input() filter_var() filter_input_array() filter_var_array() OWASP 13
  • 14. Como solucionar problemas de SQL injection Método automático filter_input() filter_var() filter_input_array() filter_var_array() SIGEN GENERANDO IGNORANCIA! OWASP 14
  • 15. Como solucionar problemas de SQL injection Método manual if (strpos($_POST['email'], ';')) throw new Exception('Invalid input'); if (strpos($_POST['email'], ''')) throw new Exception('Invalid input'); if (strpos($_POST['email'], '”')) throw new Exception('Invalid input'); if (preg_match('/from|select|delete|insert| where|drop|show|#|--|/ui',$_POST['email'])) throw new Exception('Invalid input'); OWASP 15
  • 16. Como solucionar problemas de SQL injection Método manual mysql_escape_string() mysql_real_escape_string() OWASP 16
  • 17. Como solucionar problemas de SQL injection $_POST['email'] = “foo@bar.com'); DROP TABLE users; -- ”; $sql = “INSERT INTO users (username, password, email) VALUES ( '{$_POST['username']}', '{$_POST['pass']}', '{$_POST['email']}' )”; INSERT INTO USERS (username, password, email) VALUES ('str', 'password', 'foo@bar.com'); DROP TABLE users; -- '); OWASP 17
  • 18. Como solucionar problemas de SQL injection $_POST['email'] = “foo@bar.com'); DROP TABLE users; -- ”; $sql = sprintf(“INSERT INTO users (username, password, email) VALUES ('%s', '%s', '%s')”, mysql_real_escape_string ($_POST['username']), mysql_real_escape_string ($_POST['pass']), mysql_real_escape_string ($_POST['email']) )”; INSERT INTO USERS (username, password, email) VALUES ('str', 'password', 'foo@bar.com'); DROP TABLE users; -- '); OWASP 18
  • 19. Como ELIMINAR problemas de SQL injection PDO ... OWASP 19
  • 20. Como ELIMINAR problemas de SQL injection $_POST['email'] = “foo@bar.com'); DROP TABLE users; -- ”; $sql = sprintf(“INSERT INTO users (username, password, email) VALUES ('%s', '%s', '%s')”, mysql_real_escape_string ($_POST['username']), mysql_real_escape_string ($_POST['pass']), mysql_real_escape_string ($_POST['email']) )”; INSERT INTO USERS (username, password, email) VALUES ('str', 'password', 'foo@bar.com'); DROP TABLE users; -- '); OWASP 20
  • 21. Como ELIMINAR problemas de SQL injection $_POST['email'] = “foo@bar.com'); DROP TABLE users; -- ”; $sql = $db->prepare('INSERT INTO users (username, password, email) VALUES (:username, :pass, :email)'); $sql->exec($_POST); INSERT INTO USERS (username, password, email) VALUES ('str', 'password', 'foo@bar.com'); DROP TABLE users; -- '); OWASP 21
  • 22. Como ELIMINAR problemas de SQL injection $_POST['email'] = “foo@bar.com'); DROP TABLE users; -- ”; $sql = $db->prepare('INSERT INTO users (username, password, email) VALUES (:username, :pass, :email)'); $sql->exec($_POST); INSERT INTO USERS (username, password, email) VALUES ('str', 'password', 'foo@bar.com'); DROP TABLE users; -- '); OWASP 22
  • 23. Como ELIMINAR problemas de SQL injection PDO Módulo PECL para PHP 5.0 Nace de DB y MDB de PEAR Por default en PHP 5.1 OWASP 23
  • 24. Como ELIMINAR problemas de SQL injection $_POST['email'] = “foo@bar.com'); DROP TABLE users; -- ”; $db = new PDO('mysql:host=localhost; dbname=example', $user, $password); $sql = $db->prepare('INSERT INTO users (username, password, email) VALUES (:username, :pass, :email)'); $sql->exec ($_POST); OWASP 24
  • 25. Ir un paso mas allá. PDO es una capa de abstracción de acceso a datos Usar una capa de abstracción de datos Doctrine OWASP 25
  • 26. Ir un paso mas allá. $_POST['email'] = “foo@bar.com'); DROP TABLE users; -- ”; $sql = $db->prepare('INSERT INTO users (username, password, email) VALUES (:username, :pass, :email)'); $sql->exec($_POST); INSERT INTO USERS (username, password, email) VALUES ('str', 'password', 'foo@bar.com'); DROP TABLE users; -- '); OWASP 26
  • 27. Ir un paso mas allá. $_POST['email'] = “foo@bar.com'); DROP TABLE users; -- ”; $user = new User(); $user->insert($_POST); INSERT INTO USERS (username, password, email) VALUES ('str', 'password', 'foo@bar.com'); DROP TABLE users; -- '); OWASP 27
  • 28. Eliminando SQL injection GRACIAS Stuardo -StR- Rodríguez srodriguez@maphpia.com  /in/stuardo  http://www.google.com/profiles/stuardo.str OWASP 28