Script's dicht machen - Teil I

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Script's dicht machen - Teil I

    hi leuts,
    könnt ihr mir helfen, folgende zwei script's dicht zu machen bzw. mir sagen wo/ob man da was verbessern kann:

    config.inc.php4
    <?php
    $database= "XXX";
    $sqlhost= "localhost"; //3306
    $sqluser= "YYY";
    $sqlpass= "000000";

    $verbindung = mysql_connect ( $sqlhost, $sqluser, $sqlpass);
    if (!$verbindung) {
    echo "Keine Verbindung mit SQLDB möglich!\n";
    exit;
    }
    mysql_select_db($database);
    ?>


    email.php4
    <?
    include ("/u/web/XXX/config.inc.php4");

    $payment = "UPDATE tabellenname SET PAYmm = '$payment' WHERE DISPONRmm = '$id'"; //### $id wird mit get von flash übergeben ###
    $abschicken = mysql_query($payment);

    $status = "UPDATE tabellenname SET STATUSmm = '1' WHERE DISPONRmm = '$id'";
    $abschicken = mysql_query($status);

    if ($email != ""){ //### $email wird mit get von flash übergeben ###
    $checkmail = mysql_query("SELECT EMAILep FROM emailtable WHERE EMAILep = '$email'");
    $anzmail = mysql_num_rows($checkmail);
    if ($anzmail == 0){
    $insertmail = "INSERT INTO emailtable SET EMAILep = '$email', INFOep = 'yes'";
    $insertmail2 = mysql_query($insertmail);
    }
    }

    mysql_close($verbindung);

    //mail
    $datum = date("d.m.Y");
    $zeit= date("H");
    $time= date("$zeit:i");
    $betreff = "Mail am $datum um $time";
    $newmail = $newmail."\n";
    $newmail = $newmail."\n";
    $newmail = $newmail."\n";
    $newmail = $newmail."\n";
    $newmail = $newmail."\n";
    $User = "Shop-User";
    mail("aaa@bbb.com",$betreff,$newmail,"FROM:$User");

    $emailok = "1";
    echo "emailok=$emailok";

    ?>
    $PHP resource 4ever$

  • #2
    Script's dicht machen - Teil II

    hier noch ein script wo ich nicht weiß wo die sicherheitslücken liegen:

    itc.php4
    PHP-Code:
    <?php
    include ("/u/web/XXX/config.inc.php4");

    $pin_all $pinA.$pinB//pinA und B kommen per get von flash
    //echo "ganzerPin=$pin_all"; //Testausgabe OK

    $checkpin mysql_query("SELECT RANDOMitc, NRitc, CENTitc, DEMOitc FROM itcindoor WHERE RANDOMitc='$pin_all' AND USEDitc='no'");
    $anzahl mysql_num_rows($checkpin);

    if (
    $anzahl==1){ 
    $checkamount mysql_fetch_array($checkpin); 
    $amountitc $checkamount["CENTitc"];
    $demoitc $checkamount["DEMOitc"];
    //echo "CENTitc=$amountitc"; //Testausgabe OK

    if ($demoitc==yes){
        
    $nritc $checkamount["NRitc"];
        
    $itc "itc".$nritc."D";
    }
    if (
    $demoitc==no){
        
    $nritc $checkamount["NRitc"];
        
    $itc "itc".$nritc;
    }

    if (
    $nritc != 4600){
        
    $used mysql_query("UPDATE itcindoor SET USEDitc = 'yes' WHERE RANDOMitc='$pin_all'"); 
    }


    $date date("Y-m-d");
    $time date("H:i:s");
    $ip getenv(REMOTE_ADDR);

    $sqlbefehl mysql_query("INSERT INTO tabellenname SET DATEmm = '$date',TIMEmm = '$time',IPmm = '$ip',AMOUNTmm = '$amountitc',STATUSmm = 'ok',OFFERmm = '1',CARDmm = '$itc'");
    $blub mysql_query($sqlbefehl); 
    /*
    //OK or NOT OK Ausgabe von mysql
    if (!$blub) { 
    echo "error, mySQL said: '.mysql_error().'<br>"; 
    } else { 
    echo "Alles ok."; 

    echo "Query war: '.$sqlbefehl.'<br>"; 
    */

    //fortlaufende dispositionsnummer erzeugen
    $lesen mysql_query("select IDmm, DATEmm, TIMEmm from tabellenname WHERE IDmm=LAST_INSERT_ID()");
    while(
    $row mysql_fetch_array($lesen))
    $mtid $row[IDmm].$row[DATEmm].$row[TIMEmm]; 
    $mtid str_replace("-","",$mtid); 
    $mtid str_replace(":","",$mtid); //uebergabeparameter fuer function CreateDispo
    $eintrag mysql_query(" update tabellenname set DISPONRmm='$mtid' where IDmm='$row[IDmm]' ");
    }

    /*
    //OK or NOT OK Ausgabe von mysql
    $blubdisponr = mysql_query($eintrag); 
    if (!$blubdisponr) { 
    echo "error, mySQL said: '.mysql_error().'<br>"; 
    } else { 
    echo "Alles ok."; 

    echo "Query war: '.$eintrag.'<br>"; 
    */


    $data "<?php\necho \"credits=$amountitc&id=$mtid&card=ITC\";\n?>"
    $fp fopen('value1.php4','w'); 
    fwrite($fp,$data,strlen($data)); 
    fclose($fp);

    mysql_close($verbindung); 
    } else {
    header"Location: [url]http://www.company.com/badinput.htm[/url] ");
    }
    ?>


    <html>
    <HEAD>
    <TITLE></TITLE>
    <script language="JavaScript">
    function flashopen(){ 
    altesfenster = window.close("main"); 
    fenster = window.open("main1.htm","","toolbar=no,menubar=no,location=no,resizeable=no,width=720,height=500");
    fenster.moveTo(138,115);

    </script>
    </HEAD>
    <body bgcolor="#004304" text="#000000" marginheight="0" marginwidth="0" leftmargin="0" topmargin="0" onLoad=javascript:flashopen();>
    </body>
    </html>
    $PHP resource 4ever$

    Kommentar


    • #3
      Scripts dich machen - letzter Teil

      hier mein letztes script wo ich nicht weiß ob's sicher ist:

      <?
      //vom fremden server => $WTtid

      include ("/u/web/xxx/config.inc.php4");

      $amount = "SELECT AMOUNTmm FROM tabellenname WHERE DISPONRmm = '$WTtid'";
      $abschicken = mysql_query($amount);
      $amount = mysql_result($abschicken,0);
      //echo $amount; //Testaugabe OK

      //OK or NOT OK Ausgabe von mysql
      //if (!$abschicken) {
      //echo "error, mySQL said: '.mysql_error().'<br>";
      //} else {
      //echo "Alles ok.";
      //}
      //echo "Query war: '.$query.'<br>";

      //$amount = floor($amount)*100; //cut .00 und rechne in Cents um

      $amount = $amount*100; //rechne in Cents um
      //echo $amount; //Testausgabe *100 OK

      $query = "UPDATE tabellenname SET AMOUNTmm = '$amount' WHERE DISPONRmm = '$WTtid'";

      $blub = mysql_query($query); //abschicken

      $status = "UPDATE tabellenname SET STATUSmm = '1' WHERE DISPONRmm = '$WTtid'";
      $consquery = mysql_query($status);

      $status2 = "UPDATE tabellenname SET STATUS2mm = '2' WHERE DISPONRmm = '$WTtid'";
      $abschickenplay = mysql_query($status2);

      //OK or NOT OK Ausgabe von mysql
      //if (!$blub) {
      //echo "error, mySQL said: '.mysql_error().'<br>";
      //} else {
      //echo "Alles ok.";
      //}
      //echo "Query war: '.$query.'<br>";

      $data = "<?php\necho \"credits=$amount&id=$WTtid&card=other\";\n?>";
      $fp = fopen('value.php4','w');
      fwrite($fp,$data,strlen($data));
      fclose($fp);

      mysql_close($verbindung);
      ?>


      <html>
      <HEAD>
      <TITLE></TITLE>
      <script language="JavaScript">
      function flashopen(){
      altesfenster = window.close("main");
      fenster = window.open("main.htm","","toolbar=no,menubar=no,location=no,resizeable=no,width=720,height=500");
      fenster.moveTo(138,115);
      }
      </script>
      </HEAD>
      <body bgcolor="#004304" text="#000000" marginheight="0" marginwidth="0" leftmargin="0" topmargin="0" onLoad=javascript:flashopen();>

      </body>
      </html>
      $PHP resource 4ever$

      Kommentar


      • #4
        müssen wir die jetzt alle durchgucken? Ist nicht dein Ernst!

        Kommentar


        • #5
          hmmm

          $newmail = $newmail."\n";
          $newmail = $newmail."\n";
          $newmail = $newmail."\n";
          $newmail = $newmail."\n";
          $newmail = $newmail."\n";

          Ich weiß zwar nicht was Du damit bezwecken willst, aber syntaktisch kannst Du das auch so schreiben:

          $newmail .= "\n";
          $newmail .= "\n";
          $newmail .= "\n";
          $newmail .= "\n";
          $newmail .= "\n";

          .................................................................................................... .....
          SET DATEmm = '$date', TIMEmm = '$time'

          Warum zwei Felder? Warum nicht eines im Format DATETIME?

          .................................................................................................... .....
          header( "Location: <a href="http://www.company.com/badinput.htm" target="_blank">http://www.company.com/badinput.htm</a> ");

          wäre das nicht geschiickter so?

          header( "Location: http://www.company.com/badinput.htm");

          Kommentar

          Lädt...
          X