Salud y Rendimiento
Monitoreo de Disponibilidad
Monitorea la disponibilidad de HTTP, HTTPS, DNS, UDP, TCP, email y más.
Monitoreo de Rendimiento
Monitorea el rendimiento completo del sitio web cargándolo con un navegador Chrome real.
Monitoreo de Usuarios Reales
Monitorea la velocidad de la experiencia de los visitantes de tu sitio web.
Operaciones
Monitoreo de Transacciones
Monitorea transacciones de múltiples pasos y recibe notificaciones si algo falla.
Monitoreo de Vencimiento de Dominio
Monitorea el vencimiento de tus dominios.
Página de Estado Pública
Muestra actualizaciones operativas en tiempo real de tu sitio web al público.
Seguridad
Monitoreo de Certificados SSL
Monitorea el certificado SSL de tu sitio web.
Detección de Malware
Nuevo
Recibe alertas si tu sitio web se infecta con virus o malware.
¿Listo para empezar? Regístrate gratis
Recursos
Aprende
Aprende cosas nuevas sobre diversos temas relacionados con el monitoreo, mantenimiento y desarrollo de sitios web.
Preguntas
Encuentra respuestas a preguntas comunes sobre monitoreo, mantenimiento y desarrollo de sitios web.
Información del Producto
Blog
Información útil para nuestros clientes sobre actualizaciones y novedades del producto.
¿Listo para empezar? Regístrate gratis

Cómo Prevenir SQL Injection en PHP

Inicio  »  Aprende  »  Cómo Prevenir SQL Injection en PHP
Publicado 26 de enero de 2026

La inyección SQL es un gran problema de seguridad que puede permitir a los atacantes modificar consultas de base de datos y obtener acceso a datos privados a los que no deberían tener acceso. En aplicaciones PHP, los ataques de inyección SQL ocurren cuando la entrada del usuario no se verifica o limpia antes de ser utilizada en consultas SQL. Este artículo examina los diferentes tipos de ataques de inyección SQL, muestra ejemplos de código PHP vulnerable y habla sobre las mejores formas de detener problemas de inyección SQL en tus aplicaciones.

Entendiendo los Ataques de Inyección SQL en PHP

¿Qué es la Inyección SQL?

La inyección SQL es una técnica utilizada por atacantes para insertar código SQL malicioso en una aplicación PHP vulnerable. Ocurre cuando la entrada del usuario no se valida o limpia correctamente antes de ser utilizada en una consulta SQL. Los atacantes explotan la validación de entrada inadecuada y las consultas SQL dinámicas para manipular el comportamiento de la aplicación y obtener acceso no autorizado a la base de datos. Al crear valores de entrada especiales, los atacantes pueden modificar la estructura de la consulta SQL, eludir la autenticación, recuperar información confidencial o incluso ejecutar comandos SQL arbitrarios en el servidor de base de datos.

Aquí hay un ejemplo de un fragmento de código PHP vulnerable que permite la inyección SQL:

$username = $_POST['username'];
$password = $_POST['password'];

$query = "SELECT * FROM users WHERE username='$username' AND password='$password'";
$result = mysqli_query($connection, $query);

En este código, los valores $username y $password proporcionados por el usuario se concatenan directamente en la consulta SQL sin ninguna validación o limpieza. Un atacante puede explotar esta vulnerabilidad ingresando una entrada maliciosa como:

username: admin' --
password: cualquier valor

La consulta SQL resultante sería:

SELECT * FROM users WHERE username='admin' -- AND password='cualquier valor'

La sintaxis de comentario -- anula la verificación de contraseña, permitiendo al atacante eludir la autenticación y obtener acceso no autorizado.

Tipos Comunes de Ataques de Inyección SQL

Inyección SQL Basada en Union

En este tipo de ataque, los atacantes usan el operador UNION para combinar los resultados de múltiples declaraciones SELECT y extraer información confidencial. Al agregar una declaración SELECT maliciosa a la consulta original, los atacantes pueden recuperar datos de diferentes tablas o columnas que no estaban destinadas a ser accesibles. Esta técnica depende de que la aplicación devuelva el resultado de la consulta inyectada al atacante.

Ejemplo de una inyección SQL basada en union:

Consulta original:

SELECT name, description FROM products WHERE id = $id

Consulta inyectada:

SELECT name, description FROM products WHERE id = 1 UNION SELECT username, password FROM users

La consulta inyectada combina la consulta original con una declaración SELECT adicional que recupera credenciales de usuario confidenciales de la tabla users.

Inyección SQL Ciega

La inyección SQL ciega ocurre cuando la aplicación no devuelve directamente los resultados de la consulta inyectada al atacante. En su lugar, los atacantes envían consultas elaboradas y observan la respuesta de la aplicación para inferir la estructura y el contenido de la base de datos. Hacen esto haciendo que la aplicación se comporte de manera diferente según el resultado de la condición inyectada. Al construir cuidadosamente las consultas y analizar el tiempo de respuesta de la aplicación, mensajes de error u otros cambios de comportamiento, los atacantes pueden extraer información confidencial un bit a la vez.

Ejemplo de una inyección SQL ciega:

Consulta original:

SELECT * FROM users WHERE id = $id

Consulta inyectada:

SELECT * FROM users WHERE id = 1 AND SUBSTRING(password, 1, 1) = 'a'

En este caso, el atacante inyecta una condición que verifica si el primer carácter de la contraseña es 'a'. Al observar la respuesta de la aplicación (por ejemplo, un retraso o un error), el atacante puede determinar si la condición es verdadera o falsa y adivinar gradualmente la contraseña carácter por carácter.

Inyección SQL Basada en Errores

En esta técnica, los atacantes provocan intencionalmente errores SQL para recopilar información sobre la base de datos y su esquema. Hacen esto insertando declaraciones SQL malformadas o caracteres especiales que hacen que la base de datos genere mensajes de error. Estos mensajes de error a menudo contienen información valiosa como nombres de tablas, nombres de columnas o incluso porciones de datos confidenciales. Los atacantes pueden usar esta información para refinar sus ataques y apuntar a partes específicas de la base de datos.

Ejemplo de una inyección SQL basada en errores:

Consulta inyectada:

SELECT * FROM users WHERE id = 1 AND (SELECT 1 FROM (SELECT COUNT(*), CONCAT((SELECT (SELECT CONCAT(username,':',password)) FROM users LIMIT 0,1), 0x3a, FLOOR(RAND(0)*2)) x FROM information_schema.tables GROUP BY x) a)

Esta consulta inyectada compleja intenta extraer el nombre de usuario y la contraseña de la tabla users al provocar un error que incluye la información confidencial en el mensaje de error.

Previniendo Ataques de Inyección SQL

Para prevenir ataques de inyección SQL en aplicaciones PHP, sigue estas mejores prácticas:

Práctica Descripción
Consultas Parametrizadas Usa declaraciones preparadas con consultas parametrizadas para separar la entrada del usuario de la estructura de la consulta SQL.
Validación de Entrada Valida y limpia la entrada del usuario antes de usarla en consultas SQL. Rechaza o limpia cualquier carácter especial o entrada maliciosa.
Mínimos Privilegios Configura la cuenta de usuario de la base de datos para tener los privilegios mínimos requeridos para la funcionalidad de la aplicación.
Escapar Caracteres Especiales Si las consultas parametrizadas no son posibles, escapa correctamente los caracteres especiales en la entrada del usuario usando mysqli_real_escape_string() de PHP o la función quote() de PDO.
Procedimientos Almacenados Usa procedimientos almacenados para encapsular operaciones de base de datos y limitar el acceso a las tablas subyacentes.
Declaraciones Preparadas Usa declaraciones preparadas para precompilar consultas SQL y separar la entrada del usuario de la estructura de la consulta. Las declaraciones preparadas tratan la entrada del usuario como datos, no como parte del comando SQL.

Aquí hay un diagrama que ilustra el flujo de un ataque de inyección SQL:

graph TD A[Atacante] --> B[Crea entrada maliciosa] B --> C[Envía entrada maliciosa a la aplicación] C --> D[La aplicación recibe la entrada] D --> E{¿Entrada validada/limpiada correctamente?} E -->|No| F[Consulta SQL concatenada con entrada maliciosa] F --> G[La base de datos ejecuta la consulta inyectada] G --> H[El atacante obtiene acceso no autorizado o recupera datos confidenciales] E -->|Sí| I[Consulta SQL ejecutada de forma segura] I --> J[La aplicación funciona según lo previsto]

Previniendo la Inyección SQL en PHP con Declaraciones Preparadas

Declaraciones Preparadas

Las declaraciones preparadas ejecutan consultas SQL separando la lógica SQL de la entrada del usuario. Protegen contra ataques de inyección SQL. En lugar de poner la entrada del usuario en la consulta SQL, las declaraciones preparadas usan marcadores de posición (por ejemplo, ? o parámetros nombrados como :username) para los valores de entrada. Estos marcadores de posición luego se vinculan a los valores reales antes de ejecutar la consulta. Al separar la estructura SQL de la entrada del usuario, las declaraciones preparadas tratan la entrada como datos y no como parte del comando SQL, previniendo la inyección de código SQL malicioso.

PDO (PHP Data Objects) para Declaraciones Preparadas

PDO (PHP Data Objects) es una extensión en PHP que proporciona una forma consistente y segura de interactuar con diferentes bases de datos. Soporta declaraciones preparadas y consultas parametrizadas, lo que lo convierte en una buena opción para prevenir vulnerabilidades de inyección SQL.

PDO proporciona métodos para preparar, vincular y ejecutar declaraciones SQL de forma segura. Maneja las diferencias entre proveedores de bases de datos, permitiéndote escribir código portable y mantenible. PDO también ofrece un mejor rendimiento que las funciones MySQL tradicionales, ya que puede reutilizar la misma declaración preparada varias veces con diferentes valores de parámetros.

Guía para Usar Declaraciones Preparadas con PDO

Aquí hay una guía sobre cómo usar declaraciones preparadas con PDO para prevenir la inyección SQL en PHP:

  1. Conecta a la base de datos con PDO:

    $dsn = 'mysql:host=localhost;dbname=mydatabase';
$username = 'tu_usuario';
$password = 'tu_contraseña';

try {
   $pdo = new PDO($dsn, $username, $password);
   $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
} catch (PDOException $e) {
   die('Conexión fallida: ' . $e->getMessage());
}

  2. Prepara la consulta SQL con marcadores de posición para la entrada del usuario:

    $stmt = $pdo->prepare("SELECT * FROM users WHERE username = :username");

    En este ejemplo, :username es un parámetro nombrado que sirve como marcador de posición para el valor de nombre de usuario proporcionado por el usuario.

  3. Vincula la entrada del usuario a los marcadores de posición:

    $username = $_POST['username'];
$stmt->bindParam(':username', $username);

    El método bindParam() vincula la entrada del usuario al parámetro nombrado en la declaración preparada. Trata la entrada como datos y no como parte del comando SQL.

  4. Ejecuta la declaración preparada:

    $stmt->execute();

    El método execute() ejecuta la declaración preparada con los valores de parámetros vinculados.

  5. Recupera y procesa los resultados:

    $user = $stmt->fetch(PDO::FETCH_ASSOC);

    El método fetch() recupera el resultado de la declaración ejecutada. Puedes especificar el estilo de recuperación, como PDO::FETCH_ASSOC, para devolver un array asociativo.

Ejemplo: Inicio de Sesión de Usuario

Consideremos un ejemplo de un sistema de inicio de sesión de usuario donde necesitamos obtener información del usuario basada en el nombre de usuario y contraseña proporcionados. Aquí está cómo puedes usar declaraciones preparadas con PDO para prevenir la inyección SQL:

// Obtiene la entrada del usuario del formulario de inicio de sesión
$username = $_POST['username'];
$password = $_POST['password'];

// Prepara la consulta SQL con marcadores de posición
$stmt = $pdo->prepare("SELECT * FROM users WHERE username = :username AND password = :password");

// Vincula la entrada del usuario a los marcadores de posición
$stmt->bindParam(':username', $username);
$stmt->bindParam(':password', $password);

// Ejecuta la declaración preparada
$stmt->execute();

// Recupera el registro del usuario
$user = $stmt->fetch(PDO::FETCH_ASSOC);

// Verifica si el usuario existe y la contraseña es correcta
if ($user) {
    // Usuario autenticado correctamente
    // Realizar acciones (por ejemplo, establecer sesión, redirigir)
} else {
    // Nombre de usuario o contraseña inválidos
    // Mostrar un mensaje de error
}

En este ejemplo, el nombre de usuario y contraseña proporcionados por el usuario se vinculan a los marcadores de posición en la declaración preparada. La consulta SQL se ejecuta de forma segura, previniendo posibles intentos de inyección SQL.

Beneficios de las Declaraciones Preparadas

  • Separa la lógica SQL de la entrada del usuario, previniendo ataques de inyección SQL
  • Mejora la legibilidad y mantenibilidad del código
  • Permite reutilizar la misma declaración preparada con diferentes valores de parámetros
  • Proporciona mejor rendimiento que las funciones MySQL tradicionales

Mejores Prácticas

  • Siempre usa declaraciones preparadas para consultas SQL con entrada del usuario
  • Valida y limpia la entrada del usuario antes de usarla en consultas SQL
  • Usa parámetros nombrados para legibilidad y mantenibilidad
  • Implementa configuración segura de base de datos y control de acceso de mínimos privilegios
  • Mantén tu software PHP y de base de datos actualizado con los últimos parches de seguridad

Medidas Adicionales para Prevenir la Inyección SQL en PHP

Técnicas de Validación de Entrada

Además de usar declaraciones preparadas, debes validar y limpiar la entrada del usuario antes de usarla en consultas SQL. La validación de entrada previene ataques de inyección SQL al verificar que los datos ingresados por los usuarios coincidan con el formato esperado y solo tengan caracteres permitidos.

La lista blanca es una buena técnica, donde defines un conjunto de caracteres o patrones permitidos y rechazas cualquier entrada que no coincida con esas reglas. Por ejemplo, si esperas que un usuario ingrese un ID numérico, puedes validar la entrada usando expresiones regulares para verificar que solo contenga dígitos.

Aquí hay un ejemplo de validación de un ID numérico usando PHP:

$id = $_POST['id'];

// Valida que el ID contenga solo dígitos
if (!preg_match('/^\d+$/', $id)) {
    // Entrada inválida, maneja el error
    die("Formato de ID inválido");
}

// Usa el ID validado en la consulta SQL
$stmt = $pdo->prepare("SELECT * FROM users WHERE id = ?");
$stmt->execute([$id]);

En este ejemplo, la función preg_match() verifica si la variable $id contiene solo dígitos. Si la validación falla, se lanza un error, deteniendo el uso de la entrada inválida en la consulta SQL.

También debes escapar correctamente los caracteres especiales y usar los métodos de codificación correctos. Los caracteres especiales como comillas simples, comillas dobles y barras inversas pueden usarse para manipular consultas SQL si no se manejan correctamente. Al escapar estos caracteres o usar funciones de codificación apropiadas, puedes evitar que sean interpretados como parte de la sintaxis SQL.

PHP tiene funciones como mysqli_real_escape_string() o PDO::quote() para escapar caracteres especiales en la entrada del usuario. Sin embargo, generalmente es mejor usar declaraciones preparadas con consultas parametrizadas en lugar de escape manual, ya que es un enfoque más confiable y seguro.

Aquí hay algunos ejemplos de técnicas comunes de validación de entrada:

Técnica Descripción Ejemplo
Lista Blanca Permite solo caracteres o patrones específicos Permite solo caracteres alfanuméricos: /^[a-zA-Z0-9]+$/
Validación de Longitud Verifica la longitud de la entrada Asegura que el nombre de usuario tenga entre 4 y 20 caracteres: /^.{4,20}$/
Validación de Tipo Valida el tipo de entrada (por ejemplo, entero, email) Valida una dirección de email: /^[A-Za-z0-9._%+-]+@[A-Za-z0-9.-]+\.[A-Z]{2,}$/i
Validación de Rango Verifica si la entrada está dentro de un rango especificado Asegura que la edad esté entre 18 y 120: /^(1[89]|[2-9]\d|1[01]\d|120)$/

Procedimientos Almacenados y Consultas Parametrizadas

Los procedimientos almacenados son declaraciones SQL precompiladas que se almacenan en la base de datos y pueden ser llamados desde el código de la aplicación. Agregan una capa adicional de seguridad al encapsular lógica SQL compleja y limitar el acceso a las tablas subyacentes.

Al usar procedimientos almacenados, puedes definir parámetros que aceptan entrada del usuario, similar a las declaraciones preparadas. Al pasar la entrada del usuario como parámetros a procedimientos almacenados, puedes prevenir ataques de inyección SQL ya que la entrada se trata como datos y no como parte del comando SQL.

Aquí hay un ejemplo de un procedimiento almacenado que recupera información del usuario basada en un nombre de usuario proporcionado:

CREATE PROCEDURE GetUserByUsername
    @Username VARCHAR(50)
AS
BEGIN
    SELECT * FROM users WHERE username = @Username
END

En este ejemplo, el procedimiento almacenado GetUserByUsername acepta un parámetro @Username y lo usa en la consulta SQL para recuperar información del usuario. El parámetro se trata como datos, previniendo la inyección SQL.

Para llamar al procedimiento almacenado desde PHP, puedes usar PDO o MySQLi:

$username = $_POST['username'];

$stmt = $pdo->prepare("CALL GetUserByUsername(?)");
$stmt->execute([$username]);
$user = $stmt->fetch(PDO::FETCH_ASSOC);

Al usar procedimientos almacenados con consultas parametrizadas, puedes centralizar la lógica de acceso a la base de datos, mejorar el rendimiento y aumentar la seguridad de tu aplicación PHP.

Principio de Mínimos Privilegios y Roles de Usuario de Base de Datos

El principio de mínimos privilegios significa que los usuarios y aplicaciones deben tener solo los permisos mínimos necesarios para realizar sus tareas. Aplicar este principio a los roles y permisos de usuario de base de datos es un paso importante para prevenir la inyección SQL y reducir el impacto de posibles ataques.

Al configurar el usuario de base de datos para tu aplicación PHP, limita sus derechos de acceso al mínimo requerido para la funcionalidad de la aplicación. Esto significa dar al usuario solo los permisos necesarios para realizar tareas específicas, como SELECT, INSERT, UPDATE o DELETE, en las tablas relevantes.

Al restringir los privilegios del usuario de la base de datos, puedes reducir el daño potencial que un atacante puede causar si logra explotar una vulnerabilidad de inyección SQL. Por ejemplo, si la aplicación solo necesita acceso de lectura a ciertas tablas, al usuario de la base de datos solo se le debe otorgar el privilegio SELECT en esas tablas, previniendo cualquier cambio o eliminación no autorizada.

Recibe Alertas Cuando Tu Web Se Caiga
Monitorización de disponibilidad y velocidad web
Monitorización de transacciones multipaso
Monitorización de certificados SSL
Monitorización de virus y malware
Páginas de estado y alertas de incidencias
Recursos
Precios
Blog
Aprender
Preguntas
Puntos de Monitoreo
Contáctanos
Mapa del Sitio
Documentación de la API
Productos
Monitoreo de Disponibilidad
Monitoreo de Rendimiento
Monitoreo de Transacciones
Monitoreo de Usuarios Reales
Monitoreo de Certificados SSL
Monitoreo de Vencimiento de Dominio
Página de Estado Pública
Detección de Malware
Nuevo
Herramientas
Test de Disponibilidad Web
Calculadora de Disponibilidad
Generador de Expresiones Cron
Descriptor de Expresiones Cron
Conversor Hex a RGB
Conversor RGB a Hex
Mostrar Todas las Herramientas
Legal
Política de Privacidad
Política de Cookies
Términos y Condiciones
RGPD
© 2015-2026 Uptimia. Todos los derechos reservados.
Español Español
English English
Deutsch Deutsch
Français Français
Português Português
Español Español
Italiano Italiano
Nederlands Nederlands