Уязвим ли код? - SEO форум MaulTalk.com

Сообщение сайта

(Сообщение закроется через 3 секунды)

Здравствуйте, гость (

| Вход | Регистрация )

SEO форум MaulTalk.com > Веб-строительство > Программная часть

Уязвим ли код?

Опции

samedi

Topic Starter сообщение

23.4.2011, 19:20; Ответить: samedi

Сообщение #1

Группа: User
Сообщений: 247
Регистрация: 23.3.2011
Поблагодарили: 0 раз
Репутация:

[PHP]if ($is_logged) {
$id = intval($_GET['id']);
if ($id > 0) {
$row = $db->super_query("SELECT * FROM mt_s_play where id = '$id'");
if ($row['id']) {
$db->query("DELETE FROM mt_s_play WHERE id='{$row['id']}' AND name='{$member_id[name]}'");
}
} else {
die("пошёл нахер! ID не существует");
}
} else {
die("Э! ты не авторизован О_о");
}[/PHP]

можно ли воспользовавшись обходными путями удалить учётную запись другого пользователя? я тестил, вроде пе получается, скажите плиз, это важно..

Стоит ли бомбить проверочки против кривых рук и т.д., чтобы отбивало руки, если хотят удалить не свои ид и т.д.?

Ответить с цитированием данного сообщения

alexdrob alexdrob 23.4.2011, 19:45; Сообщений: 6488 Поблагодарили: 0 раз Репутация: 0 Просмотр профиля	23.4.2011, 19:45; Ответить: alexdrob Сообщение #2
0 Группа: User Сообщений: 6488 Регистрация: 8.9.2009 Поблагодарили: 0 раз Репутация: 0	(samedi @ 23.4.2011, 22:20) $row = $db->super_query("SELECT * FROM mt_s_play where id = '$id'"); ********if ($row['id']) { на сколько я понял это просто проврка на существование ИД в БД, если да то она не нужна. А вообще нет смысла передавать ИД, после авторизации вы в сессии например храните ИД юзера, вот из сессии ИД и берите.

samedi Topic Starter samediTopic Starter 23.4.2011, 20:48; Сообщений: 247 Поблагодарили: 0 раз Репутация: 0 Просмотр профиля	Topic Starter 23.4.2011, 20:48; Ответить: samedi Сообщение #3
0 Группа: User Сообщений: 247 Регистрация: 23.3.2011 Поблагодарили: 0 раз Репутация: 0	ненене, юзеры к этому не имеют отношения практически, работает так: пользователь, может ввести себе несколько аккаунтов игровых, которые проверяются и ему выводится на них баланс. на каждый отдельно, после того, как он выполняет определённые условия, эти аккаунты можно удалить, сняв деньги со счёта. так вот таблица юзеров и эта таблица с никами игроков разные вещи, id - это просто номер, под которым хранится запись в таблице, для удобства.

alexdrob alexdrob 23.4.2011, 21:04; Сообщений: 6488 Поблагодарили: 0 раз Репутация: 0 Просмотр профиля	23.4.2011, 21:04; Ответить: alexdrob Сообщение #4
0 Группа: User Сообщений: 6488 Регистрация: 8.9.2009 Поблагодарили: 0 раз Репутация: 0	Ну тогда если правильно понял, у вас у конкретного юзера, есть определённый набор ИД аккаунтов принадлежащих ему. Если нет то вам нужно завести например поле с ИД связанного ака. И потом проверять, может ли данный пользователь удалить аккаунт с этим ИД. Тогда максимум что он сможет подменить это один свой ИД на другой, но это в любом случае его аккаунт и это его личное дело)

samedi Topic Starter samediTopic Starter 23.4.2011, 21:32; Сообщений: 247 Поблагодарили: 0 раз Репутация: 0 Просмотр профиля	Topic Starter 23.4.2011, 21:32; Ответить: samedi Сообщение #5
0 Группа: User Сообщений: 247 Регистрация: 23.3.2011 Поблагодарили: 0 раз Репутация: 0	Тогда максимум что он сможет подменить это один свой ИД на другой, но это в любом случае его аккаунт и это его личное дело) да, я именно это и хотел сделать) красные кнопки - удаляющие. http://clip2net.com/s/TYV1

alexdrob alexdrob 23.4.2011, 21:37; Сообщений: 6488 Поблагодарили: 0 раз Репутация: 0 Просмотр профиля	23.4.2011, 21:37; Ответить: alexdrob Сообщение #6
0 Группа: User Сообщений: 6488 Регистрация: 8.9.2009 Поблагодарили: 0 раз Репутация: 0	А зачем у вас столько раз ник записан, раз он для каждого юзера один и тот же, храните ник в таблице юзеров 1 ид = 1 ник а в отдельной таблице храните связи аков

samedi

Topic Starter сообщение

23.4.2011, 22:22; Ответить: samedi

Сообщение #7

Группа: User
Сообщений: 247
Регистрация: 23.3.2011
Поблагодарили: 0 раз
Репутация:

просто тестил, и позабивал повторные

Замечание модератора:
Эта тема была закрыта автоматически ввиду отсутствия активности в ней на протяжении 100+ дней.
Если Вы считаете ее актуальной и хотите оставить сообщение, то воспользуйтесь кнопкой

или обратитесь к любому из модераторов.

« Предыдущая тема · Программная часть · Следующая тема »

1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)

Пользователей: 0

Похожие темы

Тема	Ответов	Автор	Просмотров	Последний ответ
Почистить код на сайте	1	Timka	1108	2.1.2021, 1:13 автор: 0pium
Вы мне код, я вам как - делать не надо.	0	fedornabilkin	960	18.9.2020, 18:59 автор: fedornabilkin
Adobe muse: Не могу разместить нужный мне код сразу после Body	0	Evg82	3833	20.6.2020, 10:24 автор: Evg82
Повесить мой код Адсенса на ваш сайт на 1-2 дня	4	WildWeb8	3726	18.7.2018, 20:04 автор: startseo
Нужен человек, который почистит код от ненужного мусора. (Вордпресс)	51	timkab_mw	6919	2.8.2017, 12:01 автор: timkab_mw

Режим отображения: Стандартный · Переключить на: Линейный · Переключить на: Древовидный

Подписка на тему · Сообщить другу · Версия для печати · Подписка на этот форум

Текстовая версия

Сейчас: 24.4.2024, 4:01

Дизайн