como es la consulta parametrizada php?

[roman]

Pero si la consulta es un SELECT, ¿cómo podría inyectarle algo que borre?

// Saludos

[*Emilio*]

Cita:

Empezado por roman

Pero si la consulta es un SELECT, ¿cómo podría inyectarle algo que borre?

Entiendo que Mick se refiere a poder alcanzar privilegios y a continuación hacer el delete, lo cual no es fácil pero no imposible.

[[kayetano]]

Hola

Como poderse se pueden hacer muchas cosas, por ejemplo:
Tenemos el siguiente select:

Código PHP:

$sql = "SELECT * FROM eq_proveedores WHERE PROVEEDOR LIKE '%".$_POST['buscar']."%' ORDER BY PROV_ID"; 


Supongamos que me monto un form que llama a nuestro script y meto como valor de "buscar" el siguient texto

Código PHP:

$_POS['buscar'] = "' OR 1 OR like '"; 


Con esto podríamos obtener todos los proveedores, pero hay un gran problema se debe conocer la consulta y por lo general esto no sucede.
De esta misma forma se podría obtener información de las bases de datos y tablas con SHOW DATABASES, pero igualmente debemos conocer la estructura de la consulta y que el código permita desarrollar la consulta modificada..
El mayor problema que podemos tener es que se incluya una comilla simple en nuestra búsqueda con lo que probocaremos un error en la consulta.

Existen muchas funciones para filtrar los parametros mandados por formularios como pueden ser "AddSlashes" y "strip_tags" para evitar algún tipo de código HTML o PHP.

[dec]

Hola,

Cita:

Empezado por Kayetano

Yo por lo general solo pongo ISSET() y si el usuario busca un espacio en blanco ... pues que lo busque.

No; no me refería yo a eso Kayetano. Cuando se trataba de comprobar el "$_POST['buscar']" con la función "isset" no sera tanto para evitar buscar "nada", sino porque de no existir el índice 'buscar' en la variable (Array) "$_POST", PHP retornaría un mensaje error, aunque creo que se trata sólo de una advertencia o una "noticia".

[roman]

¿Que no es lo mismo que dice kayetano? Él usa isset() igual que tú para asegurarse que exista la entrada 'buscar' en el arreglo asociativo $_POST. La otra parte de tu condición es la que él omite pues <<si el usuario busca un espacio en blanco ... pues que lo busque>>.

// Saludos

[dec]

Hola,

Pues así debe ser Román. No debí leer bien. De hecho así fue, y, bueno, me confundí a lo que se ve.

[Mick]

Con respeto a lo de borrar datos, segun la version de mysql, segun como este configurada, y segun el usuario de conexion tenga mas o menos privilegios, se podria injectar junto con el sql normal un segundo sql que haga un:

delete from la_Tabla_que_sea
o peor todavia un:
drop database nombre_de_la_Base_de_datos

Efectivamente hay que saber el nombre de una tabla o el nombre de la base de datos, pero si el php muestra los errores, podemos averiguar el nombre de la base de datos o de distintas tablas, simplemente injectando previamente cualquier texto que fuerce un error de sintaxis en la sentencia sql para que la pagina web muestre los errores en pantalla que suelen dar pistas o incluso mostrar los selects.

Es comun en la configuracion de muchos servidores que no esten anulados los mensajes de error (cosa bastante mala para la seguridad), a todo el mundo le habra pasado de ir a alguna pagina web, estar el servidor de mysql caido o algun otro error y que nos salga un mensaje del tipo, "cannot connect to database la_que_Sea" o "Sintax error in Sql etc,etc".
Estos errores pueden dar demasiada informacion sobre nombre de la base de datos, nombres de tablas, etc, por eso deberian estar anulados en servidores publicos.

Saludos