Problema ANTISQL

[bogdyboy2]

Deci am bagat AntiSqlInjection care arata cam asa:

static const antisqlinjection[][] =
{
    "'",
    "#",
    "`",
    "%s",
    "%d",
    "%f"
};

 

si

 

for(new i; i < sizeof(antisqlinjection); i++)
{
    if(strfind(inputtext, antisqlinjection[i], true) != -1)
    {
        SCM(playerid, -1, "Nu sunt permise asemenea caractere.");
        return 1;
    }
}

 

Si dupa ce iti faci un clan pe server si iti pui clan tag si tot dupa ce dai /clan-Clan Tag si iti alegi cum vrei sa arate Tag-ul iti scrie Nu sunt permise asemenea caractere.Ce ar trebuii sa fac?

[InfiniTy.]

Sa folosesti ce mysql iti ofera si nu prostia asta de anti sql.

Daca e versiune noua de mysql foloseste mysql_format cu %e in loc de %s

Daca nu, folosesti functia mysql_real_escape_string

[Daedric-Fox]

38 minutes ago, InfiniTy. said:

Sa folosesti ce mysql iti ofera si nu prostia asta de anti sql.

Daca e versiune noua de mysql foloseste mysql_format cu %e in loc de %s

Daca nu, folosesti functia mysql_real_escape_string

 

43 minutes ago, bogdyboy2 said:

Deci am bagat AntiSqlInjection care arata cam asa:

static const antisqlinjection[][] =
{
    "'",
    "#",
    "`",
    "%s",
    "%d",
    "%f"
};

 

si

 

for(new i; i < sizeof(antisqlinjection); i++)
{
    if(strfind(inputtext, antisqlinjection[i], true) != -1)
    {
        SCM(playerid, -1, "Nu sunt permise asemenea caractere.");
        return 1;
    }
}

 

Si dupa ce iti faci un clan pe server si iti pui clan tag si tot dupa ce dai /clan-Clan Tag si iti alegi cum vrei sa arate Tag-ul iti scrie Nu sunt permise asemenea caractere.Ce ar trebuii sa fac?

Cum a zis și @InfiniTy. folosește escape string sau %e este mai bine decât acea protecție, în primul rând este si greșită deoarece doar '%' pica nu si 's'..'d'..'f' '#' nu are treaba cu sql inject etc.