ну давай попробую
так точно делать не надо, потому что это следствие а не причина
это как спид цитрамоном лечить
берём в пример какой то рандомный метод, который напрямую работает со скулём
C#:
public void RegisterUser(string username, string password)
{
string connectionString = "Server=localhost;Database=ragemp_db;User=inoi;Password=pidor;";
using (MySqlConnection conn = new MySqlConnection(connectionString))
{
conn.Open();
// твой собсна запрос например такой
string query = $"INSERT INTO Users (Username, Password) VALUES ('{username}', '{password}')";
using (MySqlCommand cmd = new MySqlCommand(query, conn))
{
cmd.ExecuteNonQuery();
}
}
}
вот это - хуйня ебучая, написанная одноклеточным (мной)
начать можно в целом с того что использование легаси плайн sql - это уже диагноз в 2к25
но ну ладно
почему
потому что допустим это форма регистрации
если игрок в форму в поле логина вхуячит че то типа
SQL:
testuser'); DROP TABLE Users; --
то твой итоговый запрос (то что у тебя в коде + то что нахуячил пользователь) будет выглядеть как
SQL:
INSERT INTO Users (Username, Password) VALUES ('testuser'); DROP TABLE Users; -- ', 'пароль')
И он выполнится, и у тебя отлетит табличка Users соответственно к хуям
почему
потому что вот у тебя скуль парсит запрос
сначала он видит до первой ; -
SQL:
INSERT INTO Users (Username, Password) VALUES ('testuser');
в его понимании - всё заебись, нужно просто вставить юзернейм
он вставляет
потом следующий кусок
скуль думает - ага, дропнуть нахуй таблицу СЭР ЕСТЬ СЭР
а вот это
он просто пропускает, потому что -- - это значок комментария в скуле который нужен просто чтобы закрыть кавычку вокруг твоего username и не отлететь в синтаксическую ошибку
Какие есть ну очевидно простые варианты
Параметризированный запрос
C#:
public void RegisterUserSafe(string username, string password)
{
string connectionString = "Server=localhost;Database=ragemp_db;User=inoi;Password=nepidor;";
using (MySqlConnection conn = new MySqlConnection(connectionString))
{
conn.Open();
string query = "INSERT INTO Users (Username, Password) VALUES (@username, @password)";
using (MySqlCommand cmd = new MySqlCommand(query, conn))
{
cmd.Parameters.AddWithValue("@username", username);
cmd.Parameters.AddWithValue("@password", password);
cmd.ExecuteNonQuery();
}
}
}
че тут происходит
тут у тебя @username и @password - это плейсхолдеры, как замена значений
а AddWithValue(...) - вставляет их в запрос безопасно, потому что скуль знает, что это - значения, а не куски кода
и даже если твою хитрожопый игрок вхуячит всё тот же кусок кода с DROP TABLE - это будет просто строка, а не команда.
но это типа совсем как бы ну база
это не какая то там хитрость, это вообще единственный нормальный способ работы с скл
а ещё лучше вообще вот так
C#:
cmd.Parameters.Add("@username", MySqlDbType.VarChar).Value = username;
cmd.Parameters.Add("@password", MySqlDbType.VarChar).Value = password;
потому что типы иногда могут неправильно определиться ну и лучше точно типизировать
а вообще ну минимально есть ну я не говорю про ef уж ок, там видимо ковыряние редаги всё ещё (второй нахуй что ли?) - но ну ХОТЯ БЫ НАХУЙ Dapper
хуячить sqlcommand в современности это ну, я хуй знает даже как назвать
ну только если ты совсем опасный для прода новичек
если это р3, и при существующем там
госпаааади бляяять что там за фреймворк
а
а
а
а
я забыл
линк2дб во
если короче это в рамках р3 "скрипт" на легаси скл, то это вообще пиздец - там уже есть среда, которая позволяет разработчику работать с бд нормально без легаси-кода
а вообще на код надо посмотреть конечно чтобы че то чётче ответить
но базово это вот про это всё
а вообще ну, да спецсимволы можно и в форме цефки фильтровать (и нужно)
но в идеале - и нормально с бд работать хотя бы параметризированными запросами - и формы фильтровать на предмет всяких ; - и прочая, конечно
как-то плюс-минус так
