Защита от инъекций

**Сергей** · 16.01.2019, 22:50

Доброго времени суток, вопрос в том, как же всё же защитить себя от Sql инъекций?
Если использовать Pawn.Regex, это увеличит шансы защиты?
Я так понял, что только через регистрацию этот вопрос и возникает, а именно при вводе нового пароля

Если к примеру использовать Regex вот так

PHP код:


stock IsPasswordCorrect(const szPassword[])
{
    new Regex:rPASS;
    if(!rPASS) rPASS = Regex_New("^[-A-Za-z0-9!@#$^&*()_+[\\];\\\\<>,.\\/?~]{6,16}$");
    return Regex_Check(szPassword, rPASS);
}

Проверка то на запрещенный символ: ";" есть, но, не срабатывает сам сток, при его вводе.
Пример как ввожу 1234qwer; и должна была-бы сработать проверка, но, нет...

**Geebrox** · 16.01.2019, 23:45

mysql_format

**Сергей** · 16.01.2019, 23:49

Сообщение от Geebrox

mysql_format

Оно так в базу данных и записывает, 1234qwer;

Это ничего?

**Geebrox** · 17.01.2019, 00:28

Сообщение от Сергей

Оно так в базу данных и записывает, 1234qwer;

Это ничего?

прочитай это
используй %e вместо %s

**Сергей** · 17.01.2019, 00:56

Сообщение от Geebrox

прочитай это
используй %e вместо %s

Так и использую, всё равно записывает 1234qwer;

**Geebrox** · 17.01.2019, 01:49

Сообщение от Сергей

Так и использую, всё равно записывает 1234qwer;

и? это разве инъекция? если память не изменяет инъекция это когда с кавычками используешь конец строки, не?

**Сергей** · 17.01.2019, 02:52

Сообщение от Geebrox

и? это разве инъекция? если память не изменяет инъекция это когда с кавычками используешь конец строки, не?

Хорошо, тогда вопрос следующий, почему Regex не находит: ";" хотя он указан?

**DeimoS** · 17.01.2019, 04:49

На самом деле, как уже писал в соседней теме, достаточно просто запрещать игрокам вводить ' и \
И всё. Тогда никакие функции не потребуются и будет экономиться куча времени, так как не будет лишних проверок.

Ну а если очень хочется использовать функции, то тогда лучше использовать format и "%q", ибо это будет гораздо шустрее функции плагина и, при этом, будет выполнять всё ту же функцию. Хотя всё же проще

**Сергей** · 23.01.2019, 22:02

Сообщение от DeimoS

На самом деле, как уже писал в соседней теме, достаточно просто запрещать игрокам вводить ' и \
И всё. Тогда никакие функции не потребуются и будет экономиться куча времени, так как не будет лишних проверок.

Ну а если очень хочется использовать функции, то тогда лучше использовать format и "%q", ибо это будет гораздо шустрее функции плагина и, при этом, будет выполнять всё ту же функцию. Хотя всё же проще

Спасибо, тему можно закрывать.

Тема: Защита от инъекций

Опции темы

Поиск по теме

Защита от инъекций

Информация о теме

Пользователи, просматривающие эту тему

Ваши права