Sql уязвимый скрипт нуждается в исправлении

Question

function SetLastCharacter(source, charid)
   MySQLAsyncExecute("UPDATE `user_lastcharacter` SET `charid` = '"..charid.."' WHERE `steamid` = '"..GetPlayerIdentifiers(source)[1].."'")
end

Это код, который уязвим. Мне нужно все еще иметь возможность использовать скрипт, но мне нужно это исправить, любая помощь будет принята с благодарностью.

Answer 1

Просто удвойте каждую кавычку и обратный символ sh в тексте:

function SetLastCharacter(source, charid)
   charid = string.gsub(charid, "['\\]", "%0%0")
   local text = GetPlayerIdentifiers(source)[1]
   text = string.gsub(text, "['\\]", "%0%0")
   MySQLAsyncExecute("UPDATE `user_lastcharacter` SET `charid` = '"..charid.."' WHERE `steamid` = '"..text.."'")
end

Answer 2

Вам необходимо параметризовать и дезинфицировать ваши входные данные.