Форум АНТИЧАТ - Простите за нубский вопрос про рег.выражения

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)

- PHP, PERL, MySQL, JavaScript (https://forum.antichat.xyz/forumdisplay.php?f=37)

- - Простите за нубский вопрос про рег.выражения (https://forum.antichat.xyz/showthread.php?t=26381)

Простите за нубский вопрос про

Ещё раз прошу прощения за тупой вопрос, но незнаю как реализовать.

Нужно проверять введенные данные пользователя чтобы защетится от SQL-inj
Говорю сразу addslashes не предлогать.
Так-как по непняной пречине на MSSQL работает очень криво.

Подскажите способ как защетится но при учете того что пользователь должен использовать спец символы.

==================
Вобщнм принемаю любые варианты решения

PS: Язык php.

Ладно тогда предложите хороший метод защиты от SQL-inj

Код:

$txt="Текст Текст Text Text";

$txt=str_replace(array('%','+'),array('\\x',' '),urlencode($txt));

echo $txt;

Не к сожалению не катит так-как к примеру есть пользователь >l<izn-
Он захочет посмотреть инфу о себе введет свой логин он обработается и вот что получится

Цитата:

select * from memb WHERE Name='\x3El\x3Cizn-';

И такой запрос вернёт не точто надо.

Но всёравно спс. за идею у кого ещё есть какиенибудь идеи

Ну тогда кодируй всё в base64_encode

Ну закодирую и что дальше делать с закодированой строкой?

Цитата:

Сообщение от EST a1ien

Ну закодирую и что дальше делать с закодированой строкой?

Ну а потом раскодируешь.

А ещё строки в SQL можно в HEX кодировать, тапа того

Код:

select * from memb WHERE Name=0x3E6C3C697A6E2D;

Код:

$txt=">l<izn-";



$ret='0x';

$hex='0123456789ABCDEF';

for($x=0;$x<strlen($txt);$x++){

  $ret.=$hex{ord($txt{$x})>>4}.$hex{ord($txt{$x})&15};

}



echo $ret;

я не понял - экранировать спецсимволы нельзя? или именно addslashes нельзя?

Перед сохранением данных в базе кодируй их например при помощи urlencode() ! тоесть пользователя >l<izn- сохраняй в базе как %3El%3Cizn- ивсе!!!
а при выводе данных обратно раскодируй их! надеюсь понял идею...

Определить спецсимволы и заэкранировать слешами.

Цитата:

я не понял - экранировать спецсимволы нельзя? или именно addslashes нельзя?

Нет просто MSSQL както криво работает спри этом тоесть вот такой запрос вызывает ошибку в MSSQL

select * from memb WHERE Name='test\'';

Цитата:

Server: Msg 105, Level 15, State 1, Line 1
Unclosed quotation mark before the character string 'test\';
'.
Server: Msg 170, Level 15, State 1, Line 1
Line 1: Incorrect syntax near 'test\';
'.

Цитата:

Понял но некатит так-как это база одной онлайн игры и я немогу редактировать то как данные хранятся в базе потомучто допустим пользователь зарегался с ником >l<izn- в базе он сохранился как %3El%3Cizn- и поэтому пользователю предётся вводить %3El%3Cizn- чтобы войти в игру.

Ладно тогда так каие символы надо фильтровать для защиты понятно что " ' + какие ещё?

Цитата:

Сообщение от EST a1ien

о допустим пользователь зарегался с ником >l<izn- в базе он сохранился как %3El%3Cizn- и поэтому пользователю предётся вводить %3El%3Cizn- чтобы войти в игру.

НЕ прийдеться! все данные которыйе он вводит, опять кодируй, и ищи в базе уже закодированные! а перед выводом раскодируй!

короч суть така примерно!
пользовательские данные -> кодируем их -> выполняем различные операции че надо, с базой работаем и.т.д -> раскодируем -> выводим пользователю!
В базе все в закодированном виде храниться!

Нельзя кодировать данные так-как с базой работает нетолько сайт а ещё игра и вот она данные не будет декодировать(и исправить это я немогу).

ЗЫ надо защетить сайт. Какие символы надо фильтровать????

Ну а вариант с HEX'ом чем не устраивает, MySql и MSSql понимают его как текст, так что он будет храница в текстовом виде.

Цитата:

Сообщение от hidden

Ксожалению он тоже непотходит по двум причинам первая(правда не очень значительная) в базе имя чара хранится как nvarchar(50) и менять это не желательно дак вот этот тип не потдерживает HEX и вторая причина это нельзя работать с HEX'om при запросе с like.