1. SA-MP Forums Archive
  2. Non-English
  3. Languages
  4. Русский/Russian

Threaded Mode
MySQL инъекции.
Urukhay
Gangsta
****
Posts: 639
Threads: 41
Joined: Sep 2013
Reputation: 0
#1

30.11.2013, 12:34
Зачем опытные скриптеры рекомендуют использовать функцию mysql_format?
Зачем нужна функция mysql_real_escape_string?
Да и вообще, как эти инъекции могут напакастить?
Find
Reply
-Stranger-
Gangsta
*****
Posts: 770
Threads: 21
Joined: Mar 2010
Reputation: 0
#2

30.11.2013, 13:06
http://ru.wikipedia.org/wiki/Внедрение_SQL-кода
Find
Reply
polander
Little Clucker
**
Posts: 13
Threads: 1
Joined: Aug 2013
Reputation: 0
#3

01.12.2013, 20:05
Защита от инъекций нужна только тогда, когда в твоем запросе присутствуют данные, которые юзер вводит сам. Во всех остальных случаях - по желанию.
Например:
PHP код:
if(dialogid == 1234//ID диалога авторизации
{
    format(stringsizeof(string), "SELECT * FROM `Аккаунты` WHERE `Имя` = '%s' and `Пароль` = '%s'"PlayerNameinputtext);
    mysql_query(string);

Допустим имя игрока Johny_Smyth и он ввел такой пароль: 123123.
Сам запрос будет выглядеть так:
PHP код:
SELECT FROM `АккаунтыWHERE `Имя` =  'Johny_Smyth' and `Пароль` = '123123' 
А теперь предположим, что игрок ввел вместо пароля: 123' or '1' = '1
Теперь запрос выглядит так:
PHP код:
SELECT FROM `АккаунтыWHERE `Имя` =  'Johny_Smyth' and `Пароль` = '123' or '1' '1' 
'1' = '1' всегда вернет правду, следовательно игрок сможет зайти в аккаунт даже не зная пароля.
Тут то и пригождаются функции mysql_real_escape_string и mysql_format. (следует использовать что-то одно)
mysql_format удобнее в использовании, но в случае неправильного использования есть риск краша скрипта. Новичкам я рекомендую использовать mysql_real_escape_string. Сам синтаксис можно посмотреть в теме плагина.
Find
Reply
mpzila
Little Clucker
**
Posts: 15
Threads: 0
Joined: Apr 2013
Reputation: 0
#4

02.12.2013, 13:50
Пояснение:
Функция отфильтровывает переменную, в прямом смысле слова, от "левых" знаков, которые могут привести к неправильной работе скрипта.
Сама функция:
mysql_real_escape_string(const source[], destination[], connectionHandle);
Использование:
Quote:

public OnPlayerText(playerd, text[])
{
new escape[140];
mysql_real_escape_string(text,escape); //преобразовываем текст в переменной text в переменную escape
// ...
}
Find
Reply
Stepashka
Godfather
*****
Posts: 5,763
Threads: 19
Joined: Jul 2008
Reputation: 0
#5

02.12.2013, 16:00
Quote:
Originally Posted by mpzila
Посмотреть сообщение
Пояснение:
Функция отфильтровывает переменную, в прямом смысле слова, от "левых" знаков, которые могут привести к неправильной работе скрипта.
Сама функция:
mysql_real_escape_string(const source[], destination[], connectionHandle);
Использование:
Не "отфильтровывает", а экранирует.
Find
Reply
« Next Oldest | Next Newest »


Forum Jump:


Users browsing this thread: 1 Guest(s)
  1. SA-MP Forums Archive
  2. Non-English
  3. Languages
  4. Русский/Russian