Buscar en la comunidad

Hola chicos, les traigo dos mini funciones para las quest, es necesario tener puesto el mysql en quest, pero ahora casí todos los tienen así que no creo que haya problema. Las funciones son las siguientes: pc.change_coins(x) function pc.change_coins(x) mysql_query("UPDATE account.account SET coins=coins+'"..x.."' WHERE id='"..pc.get_account_id().."' LIMIT 1")end Te permite dar o quitar coins del usuario, por ejemplo quest cupon_md_1000 begin state start begin when idcupon.use begin pc.change_coins(1000) end endend Para restar simplemente añadir - antes del número pc.change_coins(-100) pc.get_coins() function pc.get_coins() local a = mysql_query("select * from account.account where id ='"..pc.get_account_id().."' LIMIT 1") return a.coins[1] end Te permite ver las coins que tienes, por ejemplo: quest consulta_coins begin state start begin when login begin if pc.get_coins() < 100 then say("Tienes menos de 100 coins") else say("Tienes más de 100 Coins") end end endend

Bueno, muchas veces me he topado con un monton de webs con una pequeña vulnerabilidad que permite realizar inyecciones de código SQL por medio de un formulario (ya sea el de registro, el de login u otros) o utilizando la barra de direcciones (osea, el método GET). Esto permite al atacante, acceder a la base de datos y modificar (editar, eliminar, etc) cualquier contenido que haya en ella. Para evitar este tipo de ataques vamos a utilizar una pequeña función que sustituye todos los carácteres especiales para ejecutar sentencias SQL y, ya que estamos, también eliminamos cualquier tipo de etiqueta HTML que haya de por medio. Vamos a ver la función: #Edito: el código estaba mal, la función es mysql_real_escape_string(), no mysql_real_string(). Pequeño error, pero ya lo corregí. <?php function limpiar($contenido) { $contenido = strip_tags($contenido); $contenido = mysql_real_escape_string($contenido); return $contenido; } ?> Para ponerlo a funcionar podríamos utilizar este ejemplo: <?php $usuario = limpiar($_POST['usuario']); ?> O, si utlizamos el método GET, podemos usar este código: <?php $usuario = limpiar($_GET['usuario']); ?> Todo el tema de seguridad es muy importante a la hora de crear una página web, y aún más si es para un servidor de Metin2, ya que hay mucha gente ociosa a la que le divierte fastidiar. A los que les interese todo el tema de seguridad, pueden ver esta guía en PDF bastante útil: http://phpbarcelona....ackWeb-v1-4.pdf Espero que os sirva esto y si teneis alguna duda, estaré encantado de intentar ayudaros en lo que pueda. Saludos.