Login  |Hazte alumno gratis

Protección contra Inyección SQL en PHP

Publicada el por networknomad

Guía Rápida: Seguridad Básica en PHP

La inyección SQL es una de las vulnerabilidades más comunes y peligrosas en las aplicaciones web. Un ataque de inyección SQL ocurre cuando un atacante es capaz de manipular una consulta SQL al insertar o modificar código malicioso en los campos de entrada de un formulario web (como un campo de nombre, correo electrónico, etc.). Esto puede permitirles acceder, modificar, o incluso borrar datos de la base de datos, lo cual puede tener consecuencias devastadoras para la seguridad y la integridad de la aplicación y sus datos.

Como desarrollador PHP, es fundamental que implementes medidas de seguridad para prevenir estos ataques, asegurando que los datos de entrada no sean interpretados como comandos SQL. En esta sesión, exploraremos cómo proteger tu aplicación PHP contra inyecciones SQL utilizando sentencias preparadas y consultas parametrizadas. Estas técnicas permiten separar los datos de la lógica SQL, lo que evita que los datos del usuario puedan ser ejecutados como código malicioso.

¿Qué es la inyección SQL?

La inyección SQL ocurre cuando un atacante puede insertar código SQL malicioso en un campo de entrada que se utiliza para crear una consulta SQL. Por ejemplo, si tu aplicación PHP permite a los usuarios introducir su nombre de usuario y contraseña para iniciar sesión, un atacante podría intentar enviar algo como:

' OR '1' = '1

Esto alteraría la consulta SQL original para que siempre devuelva un resultado verdadero, lo que permitiría al atacante iniciar sesión sin necesidad de una contraseña válida. La consulta original podría ser algo como:

SELECT * FROM usuarios WHERE nombre_usuario = 'usuario' AND contrasena = 'contraseña';

Con la inyección, la consulta se transformaría en:

SELECT * FROM usuarios WHERE nombre_usuario = '' OR '1' = '1' AND contrasena = '';

El resultado es que la consulta siempre devolvería un conjunto de resultados verdadero, permitiendo al atacante acceder a la cuenta de un usuario, eludir la autenticación y manipular datos.

Cómo prevenir la inyección SQL

La forma más efectiva de prevenir la inyección SQL en PHP es utilizar sentencias preparadas y consultas parametrizadas. Estas técnicas separan la lógica de la consulta SQL de los datos proporcionados por el usuario, garantizando que los datos no se ejecuten como parte de la consulta.

Sentencias Preparadas con MySQLi

MySQLi (MySQL Improved) es una extensión de PHP que proporciona una interfaz orientada a objetos y una interfaz procedimental para interactuar con bases de datos MySQL. Las sentencias preparadas en MySQLi permiten que se realicen consultas de forma segura mediante el uso de parámetros.

Conexión a la base de datos:Antes de utilizar sentencias preparadas, necesitas establecer una conexión con la base de datos:

$conexion = new mysqli('localhost', 'usuario', 'contraseña', 'base_de_datos');

if ($conexion->connect_error) {
    die("Conexión fallida: " . $conexion->connect_error);
}

Creación de la sentencia preparada:Con MySQLi, se utiliza el método prepare() para crear una sentencia SQL preparada. Los valores que se proporcionan por el usuario se colocan en lugar de los parámetros (representados por los signos de interrogación ?).

$sql = "SELECT * FROM usuarios WHERE nombre_usuario = ? AND contrasena = ?";
$stmt = $conexion->prepare($sql);

Vincular parámetros a la sentencia:Los datos del usuario se vinculan a la consulta preparada utilizando el método bind_param(). Este método asegura que los datos de entrada se traten como valores literales, evitando su interpretación como parte del código SQL.

$nombre_usuario = $_POST['nombre_usuario'];
$contrasena = $_POST['contrasena'];

// "s" significa string (cadena de texto), y "s" significa que ambos parámetros son cadenas
$stmt->bind_param("ss", $nombre_usuario, $contrasena);

Ejecutar la consulta:Después de vincular los parámetros, se ejecuta la consulta preparada con el método execute().

$stmt->execute();

Obtener resultados:Si la consulta es una consulta SELECT, puedes obtener los resultados utilizando get_result():

$resultado = $stmt->get_result();

while ($fila = $resultado->fetch_assoc()) {
    echo "Nombre de usuario: " . $fila['nombre_usuario'];
}

Cerrar la declaración y la conexión:Es importante cerrar la declaración y la conexión una vez que se ha terminado de usar la base de datos.

$stmt->close(); $conexion->close();

    Sentencias Preparadas con PDO

    PDO (PHP Data Objects) es una interfaz más flexible que permite interactuar con diferentes bases de datos, no solo MySQL. PDO también soporta sentencias preparadas, lo que lo convierte en una excelente opción para aplicaciones que podrían necesitar cambiar de base de datos en el futuro.

    Conexión a la base de datos:Al igual que con MySQLi, primero debes establecer una conexión con la base de datos, pero esta vez usando PDO.

    try {
    $conexion = new PDO('mysql:host=localhost;dbname=base_de_datos', 'usuario', 'contraseña');
    $conexion->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
} catch (PDOException $e) {
    echo "Error de conexión: " . $e->getMessage();
}

    Preparar la consulta SQL:Al igual que con MySQLi, las consultas SQL preparadas se crean con el método prepare().

    $sql = "SELECT * FROM usuarios WHERE nombre_usuario = :nombre_usuario AND contrasena = :contrasena";
$stmt = $conexion->prepare($sql);

    Vincular los parámetros:A diferencia de MySQLi, PDO usa marcadores de parámetros con nombre (por ejemplo, :nombre_usuario) y los vincula con los valores reales utilizando bindParam() o bindValue().

    $stmt->bindParam(':nombre_usuario', $_POST['nombre_usuario']);
$stmt->bindParam(':contrasena', $_POST['contrasena']);

    Ejecutar la consulta:Después de vincular los parámetros, ejecutamos la consulta utilizando execute().

    $stmt->execute();

    Obtener los resultados:Con PDO, podemos obtener los resultados con fetch() o fetchAll().

    $resultado = $stmt->fetchAll(PDO::FETCH_ASSOC);
foreach ($resultado as $fila) {
    echo "Nombre de usuario: " . $fila['nombre_usuario'];
}

    Cerrar la conexión:Al finalizar, PDO maneja automáticamente la liberación de recursos, pero es una buena práctica cerrar explícitamente la conexión.

    $conexion = null;

      Mejores Prácticas para la Protección contra Inyección SQL

      • Usar sentencias preparadas siempre que sea posible. Esto es mucho más seguro que concatenar datos de entrada directamente en la consulta SQL.
      • Validar y sanitizar los datos de entrada antes de usarlos en las consultas. Asegúrate de que los datos cumplen con los requisitos esperados (por ejemplo, si un campo debe contener un número, verifica que efectivamente sea un número).
      • Nunca almacenar contraseñas en texto plano. Siempre utiliza funciones como password_hash() y password_verify() para manejar contraseñas de manera segura.
      • Aplicar principios de mínima autoridad para las credenciales de la base de datos. Usa cuentas de base de datos con permisos limitados que solo permitan realizar las operaciones necesarias para tu aplicación.

      Conclusión

      La inyección SQL es una de las amenazas más peligrosas en el desarrollo web, pero se puede prevenir de manera eficaz utilizando sentencias preparadas y consultas parametrizadas. Estas prácticas no solo ayudan a proteger tu aplicación de ataques, sino que también garantizan que el código sea más limpio, legible y mantenible. Como desarrollador, es tu responsabilidad aplicar estas técnicas en todos tus proyectos para asegurarte de que tus aplicaciones sean seguras y resistentes a los ataques.

      Siguiente →