Sql 易受攻击的脚本需要修复
Posted
技术标签:
【中文标题】Sql 易受攻击的脚本需要修复【英文标题】:Sql vulnerable script needs fixing 【发布时间】:2020-05-03 09:06:33 【问题描述】:function SetLastCharacter(source, charid)
mysqlAsyncExecute("UPDATE `user_lastcharacter` SET `charid` = '"..charid.."' WHERE `steamid` = '"..GetPlayerIdentifiers(source)[1].."'")
end
这是易受攻击的代码,我仍然需要能够使用该脚本,但是我需要修复它,任何帮助将不胜感激。
【问题讨论】:
请指定语言。解决方案是使用准备好的语句。 我所知道的唯一一种使用.. 进行字符串连接的语言是Lua。我已经添加了那个标签。
【参考方案1】:
只需将文本中的每个单引号和反斜杠加倍即可:
function SetLastCharacter(source, charid)
charid = string.gsub(charid, "['\\]", "%0%0")
local text = GetPlayerIdentifiers(source)[1]
text = string.gsub(text, "['\\]", "%0%0")
MySQLAsyncExecute("UPDATE `user_lastcharacter` SET `charid` = '"..charid.."' WHERE `steamid` = '"..text.."'")
end
【讨论】:
以上是关于Sql 易受攻击的脚本需要修复的主要内容,如果未能解决你的问题,请参考以下文章
Drupal 站点存在 Symfony 缺陷易受攻击 建议立即修复
如何修复 package-lock.json 中未在 package.json 中列出的易受攻击的 npm 包?