Forum PHP.pl > [PHP]Filtrowanie POST

Pomoc - Szukaj - Użytkownicy - Kalendarz

Zawiej

13.07.2009, 11:29:56

Witam od jakiegoś czasu edytuję silnik gry teraz przyszedł czas na porobienie "zabezpieczeń". Zrobiłem to w ten sposób:

[PHP] pobierz, plaintext 
<?php
include('gora.php');
 
$wbanku = mysql_fetch_array(mysql_query("SELECT bank FROM users WHERE user='$user' "));
$row = mysql_fetch_array(mysql_query("SELECT kasa FROM users WHERE user='$user' "));
 
 
if(isSet($_POST['wloz']) || isSet($_POST['wyjmij'])){
    if(isSet($_POST['wloz'])){
        if($_POST['wloz'] < 0){
            $kara = mysql_query("UPDATE users SET kasa=0 WHERE user='$user' ");
            echo "Wykorzystywanie błędów w kodzie jest zabronione. Za karę musisz zapłącić tyle kasy ile masz obecnie.";
        }
 
        else{
 
$_POST['wloz']=str_replace('=','0',$_POST['wloz']);
$_POST['wloz']=str_replace('<','0',$_POST['wloz']);
$_POST['wloz']=str_replace('>','0',$_POST['wloz']);
$_POST['wloz']=str_replace('&','0',$_POST['wloz']);
$_POST['wloz']=str_replace('(','0',$_POST['wloz']);
$_POST['wloz']=str_replace(')','0',$_POST['wloz']);
$_POST['wloz']=str_replace('/','0',$_POST['wloz']);
$_POST['wloz']=str_replace('','0',$_POST['wloz']);
$_POST['wloz']=str_replace('%','0',$_POST['wloz']);
$_POST['wloz']=str_replace('-','0',$_POST['wloz']);
$_POST['wloz']=str_replace('+','0',$_POST['wloz']);
                $_POST['wloz'] = addslashes(mysql_real_escape_string($_POST['wloz']));
        if($row[0] >= $_POST['wloz']){
            $jest = mysql_fetch_array(mysql_query("SELECT bank FROM users WHERE user='$user' "));
            $jest2 = $jest[0];
            $wloz = $_POST['wloz'];
            $wloz2 = $wloz + $jest2;
            $wloz3 = mysql_query("UPDATE users SET bank='$wloz2' WHERE user='$user' ");
            $zabierz = $row[0] - $wloz;
            $zabierz2 = mysql_query("UPDATE users SET kasa='$zabierz' WHERE user='$user' ");
            echo "Dziękujemy. Napewno nie pożałujesz, że zostawiłeś tu pieniądze." . " <a href=\"bank.php\">powrót</a>";
        }
        else{
         echo "Nie masz tyle kasy! " . " <a href=\"bank.php\">powrót</a>";
        }
        }
    }
    
    else if(isSet($_POST['wyjmij'])){
$_POST['wyjmij']=str_replace('=','0',$_POST['wyjmij']);
$_POST['wyjmij']=str_replace('<','0',$_POST['wyjmij']);
$_POST['wyjmij']=str_replace('>','0',$_POST['wyjmij']);
$_POST['wyjmij']=str_replace('&','0',$_POST['wyjmij']);
$_POST['wyjmij']=str_replace('(','0',$_POST['wyjmij']);
$_POST['wyjmij']=str_replace(')','0',$_POST['wyjmij']);
$_POST['wyjmij']=str_replace('/','0',$_POST['wyjmij']);
$_POST['wyjmij']=str_replace('&#092;','0',$_POST['wyjmij']);
$_POST['wyjmij']=str_replace('-','0',$_POST['wyjmij']);
$_POST['wyjmij']=str_replace('+','0',$_POST['wyjmij']);
$_POST['wyjmij']=str_replace('%','0',$_POST['wyjmij']);
        $_POST['wyjmij'] = addslashes(mysql_real_escape_string($_POST['wyjmij']));
        if($wbanku[0] >= $_POST['wyjmij']){
            $wyjmij = $wbanku[0];
            $wyjmij2 = $_POST['wyjmij'];
            $wyjmij3 = $wyjmij - $wyjmij2;
            $wyjmij4 = mysql_query("UPDATE users SET bank='$wyjmij3' WHERE user='$user' ");
            $wyjmij5 = $row[0];
            $wyjmij6 = $wyjmij5 + $wyjmij2;
            $wyjmij7 = mysql_query("UPDATE users SET kasa='$wyjmij6' WHERE user='$user' ");
            echo "Prosze bardzo oto twoje pieniądze." . " <a href=\"bank.php\">powrót</a>";
        }
        else{
            echo "Nie mamy aż tylu twoich pieniędzy!" . " <a href=\"bank.php\">powrót</a>";
        }
    }
}
else{
?> 
 
<table>
    <tr>
        <td><img src="images/bank.jpg"></td>
        <td valign="top">Witam Cię! Są tylko dwa powody dlaczego mogłeś tu trafić. Możesz chcieć wyjąć pieniądze które tu zostawiłeś lub zostawić nam jakieś pod opiekę. Niestety nie mogę Ci zaproponować żadnego procentu ale mogę obiecać, że pieniądze które u nas zostawisz napewno nie zginą a warto mieć zawsze trochę gotówki np na paliwo lub izbę wytrzeĽwień. W chwili obecnej masz u nas <?php echo $wbanku[0] . ' zł'; ?></td>
    </tr>
</table><br><br>
<form action="bank.php" method="post">
<table>
    <tr>
        <td valign="middle">Włóż</td>
        <td valign="middle"><input type="text" name="wloz"><input type="submit" VALUE="Włóż"></td>
    </tr>
</form>
<form action="bank.php" method="post">
    <tr>
        <td valign="middle">Wyjmij</td>
        <td valign="middle"><input type="text" name="wyjmij"><input type="submit" VALUE="Wyjmij"></td>
    </tr>
</table>
</form>
 
<?php
}
include('dol.php');
?>
[PHP] pobierz, plaintext

Czy to dobry sposób na zabezpieczenie ?

Spawnm

13.07.2009, 11:32:14

nie widzę blokowania ' i "
zobacz mysql_real_escape_string" title="Zobacz w manualu PHP" target="_manual

jeśli pobierasz dane tylko do działań matematycznych to odbieraj je np.
$z=(int)$_POST['cos'];

Fifi209

13.07.2009, 11:46:53

Cytat(Spawnm @ 13.07.2009, 11:32:14 )

[PHP] pobierz, plaintext 
<?php
$_POST['wyjmij'] = addslashes(mysql_real_escape_string($_POST['wyjmij']));
?>
[PHP] pobierz, plaintext

Co do rzutowania na int, zgodzę się w 100%.

To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.