Skrypty & Kody Zabezpieczenia

[Czopeq]

Witam, tak sobie czyta?em, czyta?em i wyczyta?em, ?e s? jakie? luki w sms shopach, ?e mo?na dublowa? kody, czy m?j sms shop jest zabezpieczony? Jak go zabezpieczy??

<?php

			
			ob_start();
			
		include ('shop/kod.php');
		$account=$_SESSION["acc"];
if ($_SERVER['REQUEST_METHOD'] == "POST") {
			if ($account == "111111" || $account == "1") 
			{ $error='Dla bezpiecze?stwa ten numer jest zablokowany!';	}
			elseif (empty($account)) 
			{ $error='Podaj Numer Konta!'; } 
			elseif (!is_numeric($account)) 
			{ $error='Numer konta mo?e sk?ada? si? wy??cznie z cyfr!'; } 			
			if (empty($error)) {
			$query=mysql_query('SELECT * FROM accounts WHERE (id = '.$account.')');
		if (mysql_num_rows($query) == 0) { 
				$error= "Numer nie istnieje";
				}
					
			}
								
					$query2 = mysql_query("SELECT `bonus` FROM `accounts` WHERE (`id` = '$account') ") or die(mysql_error());
				
				while($sql = mysql_fetch_array($query2)) {
				
$b = $sql['bonus'];
$add = "$punkty";
$bonus = $add + $b; //ilosc bonusu

}				
$nick = $_POST['nick'];
$check = $_POST['check'];
$account=$_SESSION["acc"];


$id = "$id";
$code = "$usluga";
$type = "sms";
$del="1";

$handle = fopen("http://dotpay.pl/check_code.php?id=".$id."&code=".$code."&check=".$check."&type=".$type."&del=".$del."", "r");
$status = fgets($handle, 8);
fclose($handle);
if(!isset($error))
{
if (empty($check))
{
$error = "Prosz? wpisa? kod dost?pu!";
}

elseif ( $status <> 1 )
{
$error = "Wpisany kod jest niepoprawny lub by? ju? wykorzystany!";
}
else
{
		$Sql = "UPDATE accounts SET bonus = '$bonus' WHERE (id = '$account')";
							if (!$Result = mysql_query($Sql)) {
							echo "Error at updateing.<br/>\n";
							echo "Error is: <b>" . mysql_error() . "</b><br/>\n";
							echo "Error in SQL: <b>" . $Sql . "</b><br/>\n";
							die();
						}	else {
						$data = date("U");
						mysql_query("INSERT INTO archiwum(user, kod, data, typ) values('$account', '$check', '$data', '1')");
							echo "<p>Dodano punkty.Obecna ilo??:";
							echo "<b>$bonus</b></p>";
							
							
						}
					
					}



					}
				if(isset($error)) {
				echo '<h1>B??d!</h1>';
				echo '<p>'.$error.'</p>';
				
			}}
		
			
		
		?>

Prosz? o odpowied? i sorry za nat?ok pyta?

 

[Baabuseek]

Odp: Zabezpieczenia

Witam, tak sobie czyta?em, czyta?em i wyczyta?em, ?e s? jakie? luki w sms shopach, ?e mo?na dublowa? kody, czy m?j sms shop jest zabezpieczony? Jak go zabezpieczy??

Tak, Tak, Nie.

Brak jakiejkolwiek walidacji wprowadzanego kodu, dodaj warunek

if(preg_match('/[^0-9A-Za-z]/', $check) die("STOP Hakierom");

 

[Czopeq]

Odp: Zabezpieczenia

@up
to w oboj?tnie jakie miejsce da??

 

[Baabuseek]

Odp: Zabezpieczenia

np. pod:

if(!isset($error))
{

 

[Czopeq]

Odp: Zabezpieczenia

@up
Jak da?em pod t? linijk? to jak klikam do?aduj punkty to nic nie wida? ;/

---------- Tre?? dodana o 23:32 ----------

czy takie zabezpieczenie by dzia?a?o?

if(!preg_match("/^[A-Za-z0-9]{8}$/",$code)) return 0;

 

[Baabuseek]

Odp: Zabezpieczenia

Je?li ju? to:

if(!preg_match("/^[A-Za-z0-9]{8}$/", $check)) die("STOP Hakierom");

bo nie jest to funkcja wi?c jak mo?e cokolwiek zwraca??

 

[Atlas]

Odp: Zabezpieczenia

Og?lnie tw?j kod jest podatny na SQL Injection bo nie jest pisany objektowo ani nie ma ?adnych zabezpiecze?

 

[Baabuseek]

Odp: Zabezpieczenia

Og?lnie tw?j kod jest podatny na SQL Injection bo nie jest pisany objektowo

Co ma piernik do wiatraka? ^.-

 

[Zbizu]

Odp: Zabezpieczenia

obi?o mi si? o uszy co? takiego jak solace scriptmaze ale z tego co wiem to tylko sprawia, ?e kod jest nieczytelny w razie przechwycenia, wi?c je?li kod jest podatny na ataki to nawet po zakrzaczeniu skryptu nadal b?dzie (zak?adaj?c, ?e w?amywacz sk?d? zna jego dzia?anie) ale jak kto? go sobie od ciebie skopiuje to b?dzie mia? problem z jego odczytaniem czy te? przerobieniem

 

[Mag Egzorcysta]

Odp: Zabezpieczenia

Polecam jeszcze si? przyjrze? linii 34 oraz 58. =)