LineAge 2.チャット。 プログラマの愚かさ？

これはinりのトピックと呼ぶことができます。



一番下の行は次のとおりです。

このゲームのチャット全体がログに書き込まれ、私が理解しているように、データベースを介して書き込まれます。 このチャットを介してSQLインジェクションを作成することが可能であったため、チャットの最も便利なバグが機能するため、一部は今作成できると思います。 メッセージを他のプレイヤーのメッセージと区別するために、単純に\ nと書くことができます。知らない人のために、これは多くのプログラミング言語で改行文字として存在する特殊文字であることを説明します。



クライアント側で入力メッセージハンドラーを記述して（サーバーをロードしないように）不要な文字の組み合わせをすべて破棄することが不可能だった理由は、私にとってそれほど問題ではないように思えます。 この場合、SQLインジェクションの問題はすぐに解消されます。 ただし、開発者は、問題をグローバルに解決する代わりに、各注入から個別に保護しました。



NCSoftのような規模の会社がそのような見落としをするのは普通だと思いますか？