Чего-чего?

Катя, зачем нам идеи малого бизнеса с прибылью в 40к в количестве трёх штук на сайте-одностраничнике?

Всем тихо, я одмен ))

Я в курсе, но сначала же надо выяснить, что за спам и зачем он тут.

Я в курсе, но сначала же надо выяснить, что за спам и зачем он тут.

Мне кажется все что не про луа спам

Добрый день, случайно вышел на ваш чат

Извините

о, бот отвечает

Бот?)

Смешно)

Карочи, Катя. а) Чтобы делать нормальный флорариум, нужно закончить университет по специальности "ландшафтный дизайн". Иначе получится херня. Инфа 98%. Два процента на то что у человека есть Особое Чувство Прекрасного, и он, например, настоящий художник. б) Идеи для бизнеса не связанные с программированием тут не шибко котируются.

Парни, вопрос... как экранировать ковычки в переменной. Есть скрипт, которые записывает СМСки в базу. Всё бы ничего, но если в тексте встречается одинарная ковычка, то данные не записываются в базу local from = message:getHeader("from"); local to = message:getHeader("to"); local body = message:getBody(); local time = message:getHeader("Event-Date-Local"); local luasql = require "luasql.postgres" — — Настройки подключения к базе PostgreSQL DBHOST = '127.0.0.1' DBNAME = 'freeswitch' DBUSER = 'freeswitch' DBPASS = 'professional' DBPORT = 5432 local env = assert (luasql.postgres()) local dbcon = env:connect(DBNAME, DBUSER, DBPASS, DBHOST, DBPORT) sql = "INSERT INTO sms (date, to_sms, from_sms, body_sms) VALUES ('".. time .."', '".. to .."', '".. from .."', '".. body .."')" res, serr = dbcon:execute(sql) dbcon:close() env:close() текст присутствует в переменной body

Бот?)

Ну да, а чё нет, при входе ни здрасти, сразу ссылку на хренпоймикуды, очень напоминает поведение бота

Парни, вопрос... как экранировать ковычки в переменной. Есть скрипт, которые записывает СМСки в базу. Всё бы ничего, но если в тексте встречается одинарная ковычка, то данные не записываются в базу local from = message:getHeader("from"); local to = message:getHeader("to"); local body = message:getBody(); local time = message:getHeader("Event-Date-Local"); local luasql = require "luasql.postgres" — — Настройки подключения к базе PostgreSQL DBHOST = '127.0.0.1' DBNAME = 'freeswitch' DBUSER = 'freeswitch' DBPASS = 'professional' DBPORT = 5432 local env = assert (luasql.postgres()) local dbcon = env:connect(DBNAME, DBUSER, DBPASS, DBHOST, DBPORT) sql = "INSERT INTO sms (date, to_sms, from_sms, body_sms) VALUES ('".. time .."', '".. to .."', '".. from .."', '".. body .."')" res, serr = dbcon:execute(sql) dbcon:close() env:close() текст присутствует в переменной body

print("text with \"quotes\"")

Ну да, а чё нет, при входе ни здрасти, сразу ссылку на хренпоймикуды, очень напоминает поведение бота

Скажи спасибо, что не трейдеры с доходностью 50% в неделю

На бинарных опционах от Форекс Клуб.

Нафиг луа, пойду флорариумы пилить ?

Блин, я теперь флорариум хочу себе :(

Скажи спасибо, что не трейдеры с доходностью 50% в неделю

А чё нет-то пусть расскажут как роботов кодить на площадках

Если запилишь свой, расшарь плиз на гитхабе

Если запилишь свой, расшарь плиз на гитхабе

Флорариум?

Канеш☺️

Без проблем

А чё нет-то пусть расскажут как роботов кодить на площадках

Ты шо, они хранят стратегию в тайне и только хотят чтобы тут им срочно за полторы копейки сделали мильён ботов с тончайшими настройками и интеграцией в миллиард платформ. Иначе стратегию узнают ВРАГИ и сами сделают ботов.

print("text with \"quotes\"")

А если на вход приходит строка, в которой есть кавычки?

А, ну тогда это уже экранирование sql. Вот эти кавычки: `

Во. Он наверное про это

А ещё, с sql стоит проверять входящий текст.

Это да

print("text with \"quotes\"")

Спасибо. Но к чему мне print выодить?

Это пример

Экранировать обратным слэшем

\

Кавычки – \" или \'

Но тебе, кажется, нужно SQL-экранирование, а не Луа

Вот такими кавычками: `

нет, дело в том, что текст неизвестен какой будет. ковычку то я могу в тексте заэкраниповать

ковычка такая '

Их может быть несколько

Это экранирование SQL, не Луа тогда

Текст разный бывает, вот пример - OCTATOK 111.85 p. Antivirus ot Tele2. Podklyuchit': *381*1# (7 dn. bespl.)

И?

Так вот из-за этой одной ковычки и не пишется в базу

Я так понял что тут функцию реплейса реквестируют)

Так вот из-за этой одной ковычки и не пишется в базу

Её экранировать надо

Повторю четвертый раз

Это я знаю. Вот хотел узнать, средствами Lua это нужно делать или все же SQL

body = body:gsub("'", "\\'")

Можешь вырезать кавычки из текста с помощью gsub. Например, на вариант с экранированием слэшами

body = body:gsub("'", "\\'")

Во, вот так

Спасибо, попробую

И так - со всеми потенциально неправильными символами.

Можешь вырезать кавычки из текста с помощью gsub. Например, на вариант с экранированием слэшами

Попробовал. Этот вариант ставит слеш перед ковычкой. - V aprel\' bez avtoshtrafov! А как вырезать?

body = body:gsub("'", "")

Спасибо, попробую

А чем в базу-то пишешь?

Что значит чем?

Каким модулем?

luasql.postgres

Парни спасибо. Сработало)

Парни спасибо. Сработало)

Да всегда пожалуйста)

Я просто думал, что квотирование аргументов есть на уровне интерфейса БД. Но видимо нет, судя по примерам: http://keplerproject.github.io/luasql/examples.html

А, нет, есть:

conn:escape(str) Escape especial characters in the given string according to the connection's character set. See also: Official documentation of function PQescapeStringConn Returns: the escaped string.

А как ты это планируешь делать автоматически, если запрос - простая строка "select bla_bla from bla_bla_bla where bla = 'bla-bla\'bla\' bla'"?

Вот это тебе и надо использовать, чтобы гарантировать, что никто не сделает тебе SQL injection.

Ага. Типа body = conn:escape(body).

Только не для всего запроса, а для каждого аргумента по отдельности

Ещё точнее: для того аргумента, который ДОЛЖЕН быть экранирован.

string.format("select bla_bla from bla_bla_bla where bla = %s", conn:escape(value))

Для безопасности лучше все экранировать ?

Да, кстати как раз хотел форматирование предложить, потому что обилие конкатенации - это кошмарно по читабельности.

Или можно использовать luadbi: https://github.com/mwild1/luadbi - там используется подход с плейсхолдерами и экранирование присходит автоматически.

Боянчик в тему: https://xkcd.ru/327/

а если мы пишем вот так вот table = { "x"} мы объявляем поле со значением "x" и каким то индексом n ?? и как мне тогда объявить пустое поле с индексом "x"?

явно указывать начальное значение? типа table = { "x" = 0,} ?

Ммм. tbl = {"x"} ==> tbl = {} tbl[1] = "x" tbl = {"x" = 10} => Error: '}' expected near '=', потому что строковые ключи так не указываются. А указываются вот так: tbl = {x = 10} или tbl = {["x"] = 10}

оооо ну да, я просто глупый спасибо)

путает немного эта неразбериха со строками-индексами

tbl = {x = 10, 'yo', 'hai', y = 35} = это всё равно что => tbl = {} tbl[1] = 'yo' -- потому что без ключей указывается массивная часть, где бы она ни была tb[2] = 'hai' tbl.x = 10 tbl["y"] = 35 -- для примера

так а table = { x} тогда что объявляет?

table = {} table[1] = x