Pomoc - Szukaj - Użytkownicy - Kalendarz
Pełna wersja: [PHP] [MYSQL] Dziury
Forum PHP.pl > Forum > Przedszkole
ZeeZ
9.05.2014, 10:47:08
Witam mam pytanie czy w tym kodzie jest dziura , po której można dostać dane do bazy ?

Kod
ItemShop</h3>
        </div>
        <div id="middle_content" style="margin:1px">
<p>
    <?PHP

  if(isset($_SESSION['user_admin']) && checkInt($_SESSION['user_admin']) && $_SESSION['user_admin']>=0) {
    if(isset($_GET['k']) && checkInt($_GET['k'])) {
      $sqlCmdS="SELECT * FROM ".SQL_HP_DB.".is_items WHERE kategorie_id='".$_GET['k']."' ORDER BY id DESC";
    }
    else {
      $sqlCmdS="SELECT * FROM ".SQL_HP_DB.".is_items ORDER BY id DESC";
    }
  ?>
  <div id="isleft">
    <h2>Punkty</h2>
    <p><b><?PHP echo $_SESSION['user_coins']; ?> Puntkow</b></p>
    <h2>Kategorie</h2><br>
    <ul>
      <?PHP
        $sqlCmd = "SELECT * FROM ".SQL_HP_DB.".is_kategorien ORDER BY titel ASC;";
        $sqlQry = mysql_query($sqlCmd,$sqlHp);
        while($getKats = mysql_fetch_object($sqlQry)) {
          echo'<li><a href="?p=itemshop&k='.$getKats->id.'">'.$getKats->titel.'</a></li>';
        }
      ?>
    </ul>
  </div>
  <div id="isright">
      <table>
    <?PHP
      $sqlQry=mysql_query($sqlCmdS,$sqlHp);
      while($getItems=mysql_fetch_object($sqlQry)) {
        $aktItem = compareItems($getItems->vnum);
        $itemStufe = (checkInt($aktItem['stufe'])) ? "+".$aktItem['stufe'] : '';
        ?>
        <tr>
          <th colspan="2" class="topLine"><?PHP echo $aktItem['item'].$itemStufe; ?> (<b><?PHP echo $getItems->preis; ?> Punktow</b>)</th>
        </tr>
        <tr>
          <td class="isImg">
            <?PHP
              if(!empty($getItems->bild)) echo'<img src="./is_img/'.$getItems->bild.'" title="'.$aktItem['item'].'" alt="'.$aktItem['item'].'"/>';
            ?>
          </td>
          <td class="tdunkel"><?PHP echo $getItems->beschreibung; ?></td>
        </tr>
        <tr>
          <td colspan="2" class="isBuy"><a href="?p=is_buy&id=<?PHP echo $getItems->id; ?>">Kup!</a></td>
        </tr>
        <?PHP
      }
    ?>
      </table>
  </div>
  <?PHP
  }
  else {
    echo'<p class="meldung">Musisz sie zalogowac , aby korzystac z IS!</p>';
  }
?></p>
nospor
9.05.2014, 10:56:46
Raczej nie. I uzywaj BBCODE PHP do kodow PHP a nie bbcode CODE

ps: oczywiscie pod warunkiem, ze funkcja checkInt() dziala jak nalezy. Jej kodu niestety nie pokazales
Pyton_000
9.05.2014, 11:33:19
teoretycznie starczy coś takiego:

[PHP] pobierz, plaintext 
  1. $_GET['k'] = (int)$_GET['k'];
  2. if(!empty($_GET['k']))
[PHP] pobierz, plaintext

zamiast 
[PHP] pobierz, plaintext 
  1. isset($_GET['k']) && checkInt($_GET['k']))
[PHP] pobierz, plaintext
nospor
9.05.2014, 11:48:19
@Pyton sam niedawno krzyczales na Tursona (i to bez powodu) ze generuje NOTICE, a teraz sam wyjezdzasz z kodem z NOTICE....
Pyton_000
9.05.2014, 11:56:04
racja wink.gif
ZeeZ
9.05.2014, 13:46:14
Mi mówili ,że ta strona od strony IS jest dziurawa jak ser.
nospor
9.05.2014, 13:53:36
A co to jest IS?
Kod co pokazales jest ok. Moze inne kody na tej stronie są dziurawe
ZeeZ
9.05.2014, 13:59:24
IS to jest tak zwany ItemSHop czyli Sklep gdzie możemy kupić sobie jakieś itemki w grze.
Ta strona jest do gry metin2.

Wszystkie pliki z ISU strony http://www.speedyshare.com/ZXKRc/is.rar

Skan https://www.virustotal.com/pl/file/45f5905c...sis/1399640335/
Xart
9.05.2014, 16:38:15
Jak masz stronę z MPC to pisz na MPC...
Ta strona ma luki gdzie indziej smile.gif
Jak chcesz kupić autorską stronę do metka to pisz GG:39071133
ZeeZ
9.05.2014, 17:15:10
Na strona nie jest z MPC , tylko epvp smile.gif
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.
Invision Power Board © 2001-2025 Invision Power Services, Inc.