Albo specjalnie zostawil SQL-i zeby miec mozliwosc niszczenia konkurencji
To czekamy na "chwile prawdy" autora tematu ^ ^
Albo specjalnie zostawil SQL-i zeby miec mozliwosc niszczenia konkurencji
if(!in_array($_SERVER['REMOTE_ADDR'],
array('109.70.3.48', '109.70.3.146', '109.70.3.58'))) {
header("HTTP/1.0 403 Forbidden");
die("Error: Unknown IP");
}
No ta ale skoro jest zastrzeżenie, że przyjmuje tylko informacje wysłane z 3 IP, które należa do paygol to przecież i tak można na to położyć lache, bo chyba nikt z firmy paygol nie będzie wykorzystywać luk swojego klienta nie? Bo z każdego innego IP jest odrazu odrzucane zapytanie.
no chyba nie... bo chodzi o $_POST['custom'] a nie IP, a zauwaz ze custom wypelnia kupujacy
Szczerze powiedziawszy , nie widze tutaj szans obejscia tego....zreszta wzorowalem sie na skypcie z paypal , i tam jest prawie tak samo jak tutaj , zabezpieczenie jak trans mowi.
Spytam sie znajomego studenta dla pewnosci i jak cos to poprawie , no chyba,ze Experci PB wykaza sie dobra wola ;p
Szczerze powiedziawszy , nie widze tutaj szans obejscia tego....zreszta wzorowalem sie na skypcie z paypal , i tam jest prawie tak samo jak tutaj , zabezpieczenie jak trans mowi.
Spytam sie znajomego studenta dla pewnosci i jak cos to poprawie , no chyba,ze Experci PB wykaza sie dobra wola ;p
jesli cos tutaj jest zle to prawdopobnie wszystkie skrypty na otland o podobnej budowie do mojego maja ta "luke" ....
dobra ostatnia proba !
to zmienic :
$custom = $_GET['custom'];
na
$accountid = $_GET['custom'];
i pozniej to
$sql = "UPDATE accounts SET premium_points = premium_points+$points WHERE name = '$custom'";
na to ?
$sql = "UPDATE `accounts` SET `premium_points` = `premium_points` + '".$points."' WHERE `id` = '".$accountid."'
??
Ok nie zauważyłem, że custom wypełnia gracz. Ale i tak o ile dobrze pamietam, oni to przed odesłaniem jako potwierdzenie usuwają znaki specjalne, spacje itp. ale i tak nie powinno to być zrobione w ten sposób.no chyba nie... bo chodzi o $_POST['custom'] a nie IP, a zauwaz ze custom wypelnia kupujacy
teraz juz jest ok ??
$sql = sprintf("UPDATE accounts SET premium_points = premium_points+$points WHERE name = '%s'",
mysql_real_escape_string($custom));
dobra ostatnia proba !
to zmienic :
$custom = $_GET['custom'];
na
$accountid = $_GET['custom'];
i pozniej to
$sql = "UPDATE accounts SET premium_points = premium_points+$points WHERE name = '$custom'";
na to ?
$sql = "UPDATE `accounts` SET `premium_points` = `premium_points` + '".$points."' WHERE `id` = '".$accountid."'
??