Ką daro šis skriptas?

[Sadekas]

stock DB_Escape(text[]) {

new

ret[80 * 2],

ch,

i,

j;

while ((ch = text[i++]) && j < sizeof (ret))

{

if (ch == '\'')

{

if (j < sizeof (ret) - 2)

{

ret[j++] = '\'';

ret[j++] = '\'';

}

}

else if (j < sizeof (ret))

{

ret[j++] = ch;

}

else

{

j++;

}

}

ret[sizeof (ret) - 1] = '\0';

return ret;

}

[euLukas]

Čia: http://forum.sa-mp.com/showthread.php?t=449536

[Kesa]

Iškviečia bilduką.

[sancio__]

sudegina tavo kompo motine. :S 

[bebras]

Na ką, galima parašyti ir naudingą pranešimą.

 

Kodas "escapina" kabutes, tiek viengubas tiek dvigubas. Kaip sako pavadinimas, "DB_..." ji skirta duomenų bazėj, ir tikrai SQL užklausos gali būti "injectinamos". Nežinau kodėl tam yra atskira funkcija, dauguma plugin prideda tam skirtą funkciją.

 

 

Pavyzdys:

public OnPlayerText(playerid, text[])
{
   new query[];
   GetPlayerName(playerid, query, sizeof(query));
   mysql_format(connection_handle, "INSERT INTO chat_log (player_name, text) VALUES ('%s', '%s')", query, text);
   mysql_pquery(connection_handle, query);
}

Tarkime žaidėjas įveda tekstą " '; DELETE FROM players; -- ' " Ši suformatuota užklausa atrodytų taip:

INSERT INTO chat_log (player_name, text) VALUES ('Bebras', ''; DELETE FROM players; -- '')

Taigi, bus įvykdytos dvi užklausos... Kitaip tariant, žaidėjas gali vykdyti užklausas! O tai yra labai pavojinga. Daugiau info gali rasti googlindamas "SQL injection".