Cómo proteger nuestra base de datos ante ataques de SQL Injection

Clase 37 de 65 • Introducción a PHP-2017

Resumen

Cómo proteger una base de datos ante ataques de SQL injection

Una de las reglas principales cuando estén desarrollando aplicaciones web, es que nunca deben confiar en lo que los usuarios pueden introducir en sus campos.

Un ataque muy común es lo que se conoce cómo SQL Injection. Este tipo de ataque consiste en que como usuario podemos tratar de modificar las querys que está realizando el sistema para poder tener acceso o destruir datos de la base de datos del sistema.

William Sulca Talavera Sulca Talavera

student•

Este video me resultó muy interesante , mantener la seguridad e integridad de los datos ante todo.
Estuvo muy bueno esta clase.
Gracias Platzi.

Gabriel Oliveira

student•

Una opcion que puede servir tambien para evitar la inyeccion, en el caso del que se le pida al usuario el email, es no colocar en el html como tipo de input un texto plano, sino un tipo email:
<input type=“Email” name=“email”>
esto lo procesa el navegador y evita que se ingrese una cadena distinta a XXXX@XXXX.com

Christian Valencia Cuero

student•

pero usando el inspeccionador de elemento se puede volver a poner como type=“text”, y seguiria la vulnerabilidad.

una buena alternativa si se esta usando MYSQL es usar

mysqli::real_escape_string
o
mysqli_real_escape_string

José Tuzinkievicz

student•

Esta clase justificó el curso. Uno puede hacer muchos desarrollos pero si no son seguros, no tienen sentido. Si bien sabía de la existencia de SQL Injection, no sabía como implementar la parte de seguridad, ni había visto un ejemplo funcional. Por un momento me sentí un hacker 😄

Ivan Cardozo

student•

Me siento orgulloso de haber echo el curso de fundamentos de bases de Datos antes de este curso , entendí todo gracias a eso . Gran curso , uno de mis favoritos diria yo.

Jose Ignacio Hernandez Villafuerte

student•

Es recomendable siempre usar expresiones regulares
https://platzi.com/clases/expresiones-regulares/

Pablo Gúzman

student•

profesor yo no he visto la diferencia entre un hash y un md5 el cual en las clases anteriores comento que diria el por que no es bueno usar el encript de md5, y yo lo sigo usando en mis proyectos.

Héctor Daniel Vega Quiñones

teacher•

MD5 es muy rápido para trabajar contraseñas en el, al punto que con un buen GPU puedes testear un diccionario en inglés completo en cuestión de microsegundos. Por lo tanto no es recomendable ante ataques de fuerza bruta.

Diego Forero

Team Platzi•

A simple vista puede que no se vea la diferencia entre la salida usando sha o usando md5 pero el algoritmo de encrriptación que se usa es muy diferente, sha tiene un grado de complejidad mucho mas alto que el md5, una contraseña md5 la pueden descifrar en minutos con la potencia de computo actual una contraseña con sha1 o sha256 puede tardar 10 años con el poder de computo actual.

Noe Mikhael Huaccharaque Ruiz

student•

SQL Injection se ve en curso de seguridad informatica de platzi?

David Toca

student•

si, en el Curso de Análisis de Vulnerabilidades Web con OWASP se trata ese tipo de vulnerabilidad

Daniel Muñoz Martín

student•

Cuando especificó el usar el método md5, dijo que NO era bueno usarlo y que ya hablaríamos de ello. Alguien sabe a lo que se refería ? Gracias !

Diego Forero

Team Platzi•

MD5 es un algoritmo de hasheo o encriptación bastante viejo y que ya es fácil de romper (encontrar la clave) por esto no se recomienda su uso, se hace para efectos de enseñanza ya que es de fácil implementación pero para producción el ideal es usar otros algoritmos como sha-1, sha-256 entro muchos otros.

Jonathan Macalupu Reyes

student•

Estaba realizando el ejercicio de la clase, y comparando con la clase anterior (la de insertar datos a nuestra base de datos), para ver porqué luego del User Data no se escribe.

Cuando realicé la comparación veo que los usuarios creados no lo he hecho con md5. Sin embargo cuando modifico la línea:

$password = $_POST['password']; //asignó los valores de post a nuevas variables

Por esta otra:

$password = md5($_POST['password']); //asignó los valores de post a nuevas variables

Y pruebo el usuario, ya me aparece los datos en las dos líneas. Entiendo que es por la referencia de la consulta $query que hacemos.

Me imagino que es por ello que a otros usuarios tampoco le aparecía, como leí los comentarios.

David Antonio Garcia Saaib

student•

a mi ni así me aparece D: lo adicioné en add.php

Kevin Antonio Nava Garcia

student•

No me muestra nada en el user data con esto

$user=$queryResult->fetch(PDO::FETCH_ASSOC);

Diego Forero

Team Platzi•

Tienes definido el queryResult?
$queryResult = $pdo->query("SELECT * FROM users");

Federico Fernandez

student•

A mi tampoco me funciona el codigo esta igual que el del profesor

<?php 
$user	= null;
$query 	= null;

if (!empty($_POST)) {
	require_once 'config.php';
	$query = "SELECT * FROM users WHERE email = '". $_POST['email'] ."' AND password ='". $_POST['password'] ."' ";
	$queryResult = $pdo->query("SELECT * FROM users");
	
	$user = $queryResult->fetch(PDO::FETCH_ASSOC); 
}


 ?>

<!DOCTYPE html>
<html>
<head>
	<title>Databases</title>
	<link href="https://maxcdn.bootstrapcdn.com/bootstrap/3.3.7/css/bootstrap.min.css" rel="stylesheet" integrity="sha384-BVYiiSIFeK1dGmJRAkycuHAHRg32OmUcww7on3RYdg4Va+PmSTsz/K68vbdEjh4u" crossorigin="anonymous">
</head>
<body>
<div class="container">
	<h1>Fake login</h1>
	<a href="index.php">Home</a>
	<form action="fakelogin.php" method="post"></form>
	<label for="email">User</label>
		<input type="text" name="email" id="email">
		<br>
		<label for="password">Password</label>
		<input type="password" name="password" id="password">
		<br>
		<input type="submit" value="login">
		<h2>Query</h2>
		<div>
			<?php 
				print_r($query);
			 ?>
		</div>
		<h2>User Data</h2>
		<div>
			<?php 
				print_r($user);
			 ?>
		</div>
</div>
</body>
</html>

Izael Ruelas Garcia

student•

El 1 = 1 que es lo que valida los números?

Luis Alberto Hernandez Olvera

student•

Cuando haces una consulta recuerda que va dividida
-Primero selecciona los campos que van a ser consultados y el nombre de la tabla a la que accedes (SELECT * From users)
-Posterior a ello añades WHERE donde añades cual es la condición que se tiene que cumplir para entregar el resultado, en este caso lo único que hizo fue anular la validación del email utilizando el operador OR para poder añadir que si no se cumple la verificación del email valide si 1 es igual a 1 y como esto es verdadero regresara el valor de todos los usuarios debido a que lo único que se interpreta en el query es SELECT * From users.

Federico Fernandez

student•

Estaria necesitando un poco de ayuda el codigo a mi parecer esta igual pero no me funciona, no los desencripte porque nunca lo encripte pero creo que no cambia nada eso.
No me aparece nada en el html de query ni tampoco de user

<?php 
$user	= null;
$query 	= null;

if (!empty($_POST)) {
	require_once 'config.php';
	$query = "SELECT * FROM users WHERE email = '". $_POST['email'] ."' AND password ='". $_POST['password'] ."' ";
	$queryResult = $pdo->query($query);
	
	$user = $queryResult->fetch(PDO::FETCH_ASSOC); 
}


 ?>

<!DOCTYPE html>
<html>
<head>
	<title>Databases</title>
	<link href="https://maxcdn.bootstrapcdn.com/bootstrap/3.3.7/css/bootstrap.min.css" rel="stylesheet" integrity="sha384-BVYiiSIFeK1dGmJRAkycuHAHRg32OmUcww7on3RYdg4Va+PmSTsz/K68vbdEjh4u" crossorigin="anonymous">
</head>
<body>
<div class="container">
	<h1>Fake login</h1>
	<a href="index.php">Home</a>
	<form action="fakelogin.php" method="post"></form>
	<label for="email">User</label>
		<input type="text" name="email" id="email">
		<br>
		<label for="password">Password</label>
		<input type="password" name="password" id="password">
		<br>
		<input type="submit" value="login">
		<h2>Query</h2>
		<div>
			<?php 
				print_r($query);
			 ?>
		</div>
		<h2>User Data</h2>
		<div>
			<?php 
				print_r($user);
			 ?>
		</div>
</div>
</body>
</html>

Diego Forero

Team Platzi•

Solo te va a funcionar cuando haces un post a la url no un get, ya que estas validando el tipo de petición.

Luis Antonio Agapito Gamarra

student•

tu formulario no está dentro de las etiquetas <form></form>

William Arevalo

student•

Genial a mi me encanta la seguridad informatica sera de los proximos cursos que abarcare, y este por cierto esta excelente, genial el profesor, explica demasiado bien 😃

Gabriel Galan Mendez

student•

No se si es por mi versión de php que quizá es mas actualizada que la que usan en el video, pero desde el inicio a mi nunca me imprimió nada en la sección de User Data, de ahí en fuera todo lo demás salió como en el video. Tal vez en nuevas versiones de php ya corrigieron ese error. De todas maneras es un excelente video.

Juan Miguel Jimenez

student•

Lo acabo de probar con la última versión de Xamp y me esta funcionando y este no es un error estamos imprimiendo en pantalla el valor de la variable $user.

Cómo proteger nuestra base de datos ante ataques de SQL Injection

Estamos renovando el Curso de Introducción a PHP

¡Renovamos este curso!

Introducción

Presentación, contenidos y proyecto

Características de PHP

Antes de comenzar y Sintáxis

Introducción a PHP

Manejo de Variables y Tipos de Datos en PHP

Utilización de Cadenas de Caractéres en PHP

Arreglos

Operadores

Operadores - Aritméticos

Asignación

Comparación

Arrays

Incremento

Lógicos

Null

Funciones

Funciones en PHP

Estructuras Condicionales

Estructuras de Ciclos

Cargas de Archivos Externos

Manejo de Sesiones

Manejo de Cookies

Funciones Anónimas

Programación Orientada a Objetos

Introducción a Programación Orientada a Objetos

Constructor y Destructor

Herencia

Namespaces

Static

Abstract y Polimorfismo

Interface

Excepciones

Traits

PDO y SQL

Introducción a bases de datos SQL con PHP

Conexión desde PHP a una base de datos SQL

Insertar datos en nuestra de base de datos

Listar nuestros usuarios de la base de datos

Actualizar un Usuario en Nuestra Base de Datos

Borrar un usuario de nuestra base de datos

Cómo proteger nuestra base de datos ante ataques de SQL Injection

Construyento Nuestro Propio Blog

Creando la vista principal del Blog usando Bootstrap

Administrando los artículos del blog

Guardando los blogposts en la base de datos

Composer y carga automática de archivos

Creando la Organización de Nuestro Blog

Introducción a Front Controller

Introducción a Router

Renderizando las vistas desde un método

Agregando el resto de las rutas a nuestro Router

MVC y Templates en Nuestro Blog

El patrón de diseño Model-View-Controller en PHP

¿Por qué usar un motor de templates en PHP?

Instalación y configuración de Twig

Templates de vistas con Twig

Extendiendo layouts con Twig

Modelos con Eloquent

Configuración de variables de entorno

Validaciones de formularios en PHP

Usuarios

Agregando un modelo para los usuarios del blog

Crear usuarios para el blog

Autenticación de usuarios en PHP

Logout de usuarios

Detalles Finales

Protege ciertas rutas con middlewares y filtros

Subir archivos al servidor

Guardando un log de errores en el servidor

Página para el detalle del blogpost

Paginación

Editar y borrar blogposts

Agregar validación del lado del cliente

Cierre del Curso