¿Cómo Evitar ataques SQL injection en Joomla?

Sinclair · 26-10-2010 , 04:01:08

Cada vez que creamos un componente para Joomla estamos aportando a que nuestro desarrollo sea la entrada a un atacante, pero obviamente no todo está perdido y en este post veremos unas pequeñas técnicas para disminuir los riesgos de seguridad.
Forzar los tipos de datos con el API de Joomla

Esta técnica es básicamente comprobar que los tipos de datos enviados si sean los que pedimos. ¿Cómo?, pues si por ejemplo el dato enviado fue un número de teléfono obviamente debe llevar solo números es necesario entonces comprobar que en realidad sean números.

Código PHP:

  $ sql = 'UPDATE #__mitabla SET `tel` = ' . (int) $ tel;

Con (int) estamos forzando el tipo de dato a un entero.
Si estamos haciendo la validación con una fecha entonces usaremos JDate que es la herramienta que nos brinda Joomla para manuipular fechas:

Código PHP:

  $ fecha =& JFactory::getDate($ mifecha);
$ sql = 'UPDATE #__mitabla SET `date` = ' . $ db->quote( ->toMySQL(), false);

Escapando las Cadenas (Strings)

Para escapar cadenas en Joomla es muy sencillo.

Código PHP:

  $ sql = 'UPDATE #__mytable SET `string` = ' . $ db->quote( $ db->getEscaped( $ string ), false );

Si estás utilizando el comando LIKE, puedes tener una vulnerabilidad DOS por no “escapar” los carácteres especiales % y _.
Joomla te facilita esta operación. ->getEscaped puede tener un segundo parámetro que los “escapará” por ti.

Código PHP:

  $ sql = 'UPDATE #__mytable SET .... WHERE `string` LIKE '.$ db->quote( $ db->getEscaped( $ string, true ), false );

Previniendo ataques DOS

Código PHP:

  $ sql = 'UPDATE #__mytable SET .... WHERE `string` LIKE '.$ db->quote( $ db->getEscaped( $ string, true ), false );

Previniendo ataques XSS

Hay métodos parecidos a JRequest que fuerzan las variables a comportarse como queremos.
Integers:

Código PHP:

  $ int = JRequest::getInt( $ name, $ default );

Floats (decimales)::

Código PHP:

  $ float = JRequest::getFloat( $ name, $ default );

Boolean (verdadero/falso)::

Código PHP:

  $ bool = JRequest::getBool( $ name,  );

Words (palabras, sólo letras y _):

Código PHP:

  $ word = JRequest::getWord( $ name, $ default );

Commands (Alfanuméricos, – y _ ):

Código PHP:

  $ cmd = JRequest::getCMD( $ name, $ default );

Texto libre de HTML::

Código PHP:

  $ string = JRequest::getString( $ name, $ default );

(Recuerden que todos los signos $ se deben poner pegados de la respectiva palabra que le sigue, yo los ubico despegados para que el código no se me desaparezca en el campo de texto.)

-El Mara- · 26-10-2010 , 06:12:05

huyyy esto si me sirve gracias ariel

rondamoncito · 26-11-2010 , 00:45:53

a mi tambien me sirve mucho, aunque no tenga no culo de idea de lo que escribo jajaja gracias (y)

ARICARRARO · 07-12-2010 , 11:57:29

Buen post. Es muy útil para quienes apenas usamos Joomla.

o_0

oswalgogra · 12-12-2010 , 14:50:30

Que bueno que compartas esta información con la comunidad.

También hay documentación para administradores, programadores y diseñadores en la página oficial de la documentación de Joomla!:

Solo los usarios con mas de 1000 puntos de reputacion o los usuarios con membresia Gold, pueden ver este link
Que es la reputacion? - Membresias Pagas

Yo he aprendido muchas cosas leyendo aquí:

Solo los usarios con mas de 1000 puntos de reputacion o los usuarios con membresia Gold, pueden ver este link
Que es la reputacion? - Membresias Pagas

Éxitos y hasta pronto!

Temas Similares
Tema	Autor	Foro	Respuestas	Último mensaje
¿Cómo ver las posiciones del template en Joomla?	Sinclair	Programacion	2	12-11-2010 14:38:19
Como instalar una extension en joomla en servidor remoto	alvarezb	Programacion	1	06-08-2010 20:43:09
Como Evitar el Guayabo	Sasuke.	Discusiones Generales	12	16-11-2009 12:23:06
Niño se casa con un perro en la India para evitar ataques tigres	Jean_c	Discusiones Generales	4	19-02-2009 13:38:15
Como evitar la cantaleta????	llSenor Fll	Chistes / Cosas Charras	8	06-07-2008 11:10:53

26-10-2010 , 06:12:05	#2
-El Mara- Denunciante Avanzado Me Gusta Estadisticas Mensajes: 4.823 Me Gusta Recibidos: 153 Me Gustas Dados: 53 Ingreso: 02 dic 2008 Temas Nominados a TDM Temas Nominados 0 Temas Ganadores: 0 Reputacion Poder de Credibilidad: 26 Puntos: 12667	Respuesta: ¿Cómo Evitar ataques SQL injection en Joomla? huyyy esto si me sirve gracias ariel __________________ http://www.denunciando.com/attachmen...guino-mara.gif http://img233.imageshack.us/img233/3113/kikic.png http://img843.imageshack.us/img843/3854/aracangel.png http://img268.imageshack.us/img268/6522/jyrf.png

26-11-2010 , 00:45:53	#3
rondamoncito Usuario Expulsado Denunciante Popular Me Gusta Estadisticas Mensajes: 1.840 Me Gusta Recibidos: 832 Me Gustas Dados: 335 Ingreso: 11 abr 2006 Temas Nominados a TDM Temas Nominados 1 Temas Ganadores: 0 Reputacion Poder de Credibilidad: 0 Puntos: 5441	Respuesta: ¿Cómo Evitar ataques SQL injection en Joomla? a mi tambien me sirve mucho, aunque no tenga no culo de idea de lo que escribo jajaja gracias (y)

07-12-2010 , 11:57:29	#4
ARICARRARO Denunciante Aprendiz Me Gusta Estadisticas Mensajes: 193 Me Gusta Recibidos: 3 Me Gustas Dados: 27 Ingreso: 28 nov 2010 Temas Nominados a TDM Temas Nominados 0 Temas Ganadores: 0 Reputacion Poder de Credibilidad: 16 Puntos: 397	Respuesta: ¿Cómo Evitar ataques SQL injection en Joomla? Buen post. Es muy útil para quienes apenas usamos Joomla. o_0

¿Cómo Evitar ataques SQL injection en Joomla?

Participa en el tema ¿Cómo Evitar ataques SQL injection en Joomla? en el foro Programacion. ....

Participa en el tema ¿Cómo Evitar ataques SQL injection en Joomla? en el foro Programacion.
....