Добро пожаловать на Pro Pawn - Портал о PAWN-скриптинге.
Показано с 1 по 3 из 3
  1. #1
    Аватар для PawnoNoob
    Пользователь

    Статус
    Оффлайн
    Регистрация
    31.03.2016
    Сообщений
    257
    Репутация:
    3 ±

    Проблема при отправке запроса

    Всем привет. При подсчёте размера форматируемой строки MySQL запроса столкнулся с небольшой проблемой.

    Выглядит это примерно так:
    1. static const fmt_str[] = "SELECT `ID` FROM `acc` WHERE `Name` = '%e' LIMIT 1";
    2. new string[sizeof(fmt_str) + (-2+MAX_PLAYER_NAME)];
    3. format(string, sizeof(string), fmt_str, inputtext);
    4. mysql_tquery(mysql, string, !"search_id", "is", playerid, inputtext);


    При выводе запроса в консоль (printf) я вижу, что он выглядит так:
    Код HTML:
    SELECT `ID` FROM `acc` WHERE `Name` = 'e' LIMIT 1
    При этом с %s всё работает нормально. В чём проблема?
    Версия MySQL: R41-4

  2. #2
    Аватар для tnc
    Пользователь

    Статус
    Оффлайн
    Регистрация
    01.09.2019
    Сообщений
    121
    Репутация:
    26 ±
    В том, что Вы используйте format, а нужно mysql_format. Можно использовать format с спецификатором %q.
    Тут более подробнее

  3. Пользователь сказал cпасибо:
    PawnoNoob (07.06.2020)
  4. #3
    Аватар для DeimoS
    Модератор?

    Статус
    Оффлайн
    Регистрация
    27.01.2014
    Адрес
    Восточный Мордор
    Сообщений
    5,588
    Репутация:
    1984 ±
    Цитата Сообщение от tnc Посмотреть сообщение
    В том, что Вы используйте format, а нужно mysql_format. Можно использовать format с спецификатором %q.
    Тут более подробнее
    На самом деле %q для MySQL не подойдёт, ибо этот спецификатор экранирует только апостроф ', а графис ` и обратный слэш \ пропускает.

    Вообще в запросе автора экранировать данные особо смысла нет, ибо сам клиент не пустит игрока на сервер с символами, через которые можно создать SQL-инъекцию.

    А если это делается на случай какого-то бага SA-MP, который вдруг позволит вводить любые символы в любых количествах, то для подобного нужно делать проверку ника перед подключением игрока, а не пихать экранирование в запросы. Ибо есть куча вариантов того, как можно будет навредить серверу при помощи ника похлеще, чем SQL-инъекциями: начиная от каких-то внутренних багов SA-MP, по типу "%s" в нике, и заканчивая ником по типу "../samp-server", который создаст ошибку при чтении сервером командной строки.
    Связаться со мной в VK можно через личные сообщения этой группы
    Заказы не принимаю

    Широко известно, что идеи стоят 0.8333 цента каждая (исходя из рыночной цены 10 центов за дюжину).
    Великих идей полно, на них нет спроса.
    Воплощение идеи в законченную игру требует долгой работы,
    таланта, терпения и креативности, не говоря уж о затратах денег, времени и ресурсов.
    Предложить идею просто, воплотить – вот в чём проблема

    Steve Pavlina

  5. Пользователь сказал cпасибо:
    Daniel_Cortez (13.06.2020)
 

 

Информация о теме

Пользователи, просматривающие эту тему

Эту тему просматривают: 1 (пользователей: 0 , гостей: 1)

Ваши права

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •