Forum PHP.pl

Forum PHP.pl > Forum > Przedszkole

Reply to this topic

Start new topic

[PHP]Filtrowanie POST

Zawiej Zobacz profil	13.07.2009, 11:29:56 Post #1
Grupa: Zarejestrowani Postów: 15 Pomógł: 0 Dołączył: 13.08.2008 Ostrzeżenie: (0%)	Witam od jakiegoś czasu edytuję silnik gry teraz przyszedł czas na porobienie "zabezpieczeń". Zrobiłem to w ten sposób: [PHP] pobierz, plaintext <?php include('gora.php'); $wbanku = mysql_fetch_array(mysql_query("SELECT bank FROM users WHERE user='$user' ")); $row = mysql_fetch_array(mysql_query("SELECT kasa FROM users WHERE user='$user' ")); if(isSet($_POST['wloz']) \|\| isSet($_POST['wyjmij'])){ if(isSet($_POST['wloz'])){ if($_POST['wloz'] < 0){ $kara = mysql_query("UPDATE users SET kasa=0 WHERE user='$user' "); echo "Wykorzystywanie błędów w kodzie jest zabronione. Za karę musisz zapłącić tyle kasy ile masz obecnie."; } else{ $_POST['wloz']=str_replace('=','0',$_POST['wloz']); $_POST['wloz']=str_replace('<','0',$_POST['wloz']); $_POST['wloz']=str_replace('>','0',$_POST['wloz']); $_POST['wloz']=str_replace('&','0',$_POST['wloz']); $_POST['wloz']=str_replace('(','0',$_POST['wloz']); $_POST['wloz']=str_replace(')','0',$_POST['wloz']); $_POST['wloz']=str_replace('/','0',$_POST['wloz']); $_POST['wloz']=str_replace('','0',$_POST['wloz']); $_POST['wloz']=str_replace('%','0',$_POST['wloz']); $_POST['wloz']=str_replace('-','0',$_POST['wloz']); $_POST['wloz']=str_replace('+','0',$_POST['wloz']); $_POST['wloz'] = addslashes(mysql_real_escape_string($_POST['wloz'])); if($row[0] >= $_POST['wloz']){ $jest = mysql_fetch_array(mysql_query("SELECT bank FROM users WHERE user='$user' ")); $jest2 = $jest[0]; $wloz = $_POST['wloz']; $wloz2 = $wloz + $jest2; $wloz3 = mysql_query("UPDATE users SET bank='$wloz2' WHERE user='$user' "); $zabierz = $row[0] - $wloz; $zabierz2 = mysql_query("UPDATE users SET kasa='$zabierz' WHERE user='$user' "); echo "Dziękujemy. Napewno nie pożałujesz, że zostawiłeś tu pieniądze." . " <a href=\"bank.php\">powrót</a>"; } else{ echo "Nie masz tyle kasy! " . " <a href=\"bank.php\">powrót</a>"; } } } else if(isSet($_POST['wyjmij'])){ $_POST['wyjmij']=str_replace('=','0',$_POST['wyjmij']); $_POST['wyjmij']=str_replace('<','0',$_POST['wyjmij']); $_POST['wyjmij']=str_replace('>','0',$_POST['wyjmij']); $_POST['wyjmij']=str_replace('&','0',$_POST['wyjmij']); $_POST['wyjmij']=str_replace('(','0',$_POST['wyjmij']); $_POST['wyjmij']=str_replace(')','0',$_POST['wyjmij']); $_POST['wyjmij']=str_replace('/','0',$_POST['wyjmij']); $_POST['wyjmij']=str_replace('\','0',$_POST['wyjmij']); $_POST['wyjmij']=str_replace('-','0',$_POST['wyjmij']); $_POST['wyjmij']=str_replace('+','0',$_POST['wyjmij']); $_POST['wyjmij']=str_replace('%','0',$_POST['wyjmij']); $_POST['wyjmij'] = addslashes(mysql_real_escape_string($_POST['wyjmij'])); if($wbanku[0] >= $_POST['wyjmij']){ $wyjmij = $wbanku[0]; $wyjmij2 = $_POST['wyjmij']; $wyjmij3 = $wyjmij - $wyjmij2; $wyjmij4 = mysql_query("UPDATE users SET bank='$wyjmij3' WHERE user='$user' "); $wyjmij5 = $row[0]; $wyjmij6 = $wyjmij5 + $wyjmij2; $wyjmij7 = mysql_query("UPDATE users SET kasa='$wyjmij6' WHERE user='$user' "); echo "Prosze bardzo oto twoje pieniądze." . " <a href=\"bank.php\">powrót</a>"; } else{ echo "Nie mamy aż tylu twoich pieniędzy!" . " <a href=\"bank.php\">powrót</a>"; } } } else{ ?> <table> <tr> <td><img src="images/bank.jpg"></td> <td valign="top">Witam Cię! Są tylko dwa powody dlaczego mogłeś tu trafić. Możesz chcieć wyjąć pieniądze które tu zostawiłeś lub zostawić nam jakieś pod opiekę. Niestety nie mogę Ci zaproponować żadnego procentu ale mogę obiecać, że pieniądze które u nas zostawisz napewno nie zginą a warto mieć zawsze trochę gotówki np na paliwo lub izbę wytrzeĽwień. W chwili obecnej masz u nas <?php echo $wbanku[0] . ' zł'; ?></td> </tr> </table><br><br> <form action="bank.php" method="post"> <table> <tr> <td valign="middle">Włóż</td> <td valign="middle"><input type="text" name="wloz"><input type="submit" VALUE="Włóż"></td> </tr> </form> <form action="bank.php" method="post"> <tr> <td valign="middle">Wyjmij</td> <td valign="middle"><input type="text" name="wyjmij"><input type="submit" VALUE="Wyjmij"></td> </tr> </table> </form> <?php } include('dol.php'); ?> [PHP] pobierz, plaintext Czy to dobry sposób na zabezpieczenie ?

Spawnm Zobacz profil	13.07.2009, 11:32:14 Post #2
Grupa: Moderatorzy Postów: 4 069 Pomógł: 497 Dołączył: 11.05.2007 Skąd: Warszawa	nie widzę blokowania ' i " zobacz mysql_real_escape_string" title="Zobacz w manualu PHP" target="_manual jeśli pobierasz dane tylko do działań matematycznych to odbieraj je np. $z=(int)$_POST['cos'];

Fifi209 Zobacz profil	13.07.2009, 11:46:53 Post #3
Grupa: Zarejestrowani Postów: 4 655 Pomógł: 556 Dołączył: 17.03.2009 Skąd: Katowice Ostrzeżenie: (0%)	Cytat(Spawnm @ 13.07.2009, 11:32:14 ) nie widzę blokowania ' i " zobacz mysql_real_escape_string" title="Zobacz w manualu PHP" target="_manual jeśli pobierasz dane tylko do działań matematycznych to odbieraj je np. $z=(int)$_POST['cos']; [PHP] pobierz, plaintext <?php $_POST['wyjmij'] = addslashes(mysql_real_escape_string($_POST['wyjmij'])); ?> [PHP] pobierz, plaintext Co do rzutowania na int, zgodzę się w 100%. -------------------- Zainteresowania: C#, PHP, JS, SQL, AJAX, XML, C dla AVR Chętnie pomogę, lecz zanim napiszesz: Wujek Google , Manual PHP

« Następny starszy · Przedszkole · Następny nowszy »

Reply to this topic

Start new topic

1 Użytkowników czyta ten temat (1 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Standardowy · Przełącz na: Linearny+ · Przełącz na: Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

Aktualny czas: 21.08.2025 - 21:59

Powered By IP.Board © 2025 IPS, Inc.
All changes by PHP.pl Administrators

Hosting zapewnia

NQ.pl hosting, trac, svn