Форум: Форум PHPФорум ApacheФорум Регулярные ВыраженияФорум MySQLHTML+CSS+JavaScriptФорум FlashРазное
Новые темы: 0000000
PHP. Практика создания Web-сайтов (второе издание). Авторы: Кузнецов М.В., Симдянов И.В. C++. Мастер-класс в задачах и примерах. Авторы: Кузнецов М.В., Симдянов И.В. PHP Puzzles. Авторы: Кузнецов М.В., Симдянов И.В. Объектно-ориентированное программирование на PHP. Авторы: Кузнецов М.В., Симдянов И.В. PHP на примерах (2 издание). Авторы: Кузнецов М.В., Симдянов И.В.
ВСЕ НАШИ КНИГИ
Консультационный центр SoftTime

Форум PHP

Выбрать другой форум

 

Здравствуйте, Посетитель!

вид форума:
Линейный форум Структурный форум

тема: Есть ли баг в скрипте? (как то украли деньги)
 
 автор: tim313   (15.01.2019 в 01:06)   письмо автору
 
 

Добрый день, у меня есть сайт где я пользователям отправляю денежные средства по их заявкам, какой то злоумышленник как то умудрился заказать выплаты с 2х разных аккаунтов пользователей, я не могу понять как технически это ему удалось и могу ли я как то защититься от этого.
Вот основная часть которая проверяет данные и создает заявку:

$id=mysql_escape_string($id);

$usem = mysql_query("select * from tabl_user where id='$id' limit 1;");
if($usem){
$usd = mysql_fetch_array($usem);}

//$anm[1] переменная с id пользователем которая присваивается из cookies  
if($usd[id]==$anm[1]){
$obshzar=$usd[malltime];
$maxmoney=$obshzar*1.5-$usd[viplata];

if($del=="1" and $iddel){
$iddel=mysql_escape_string($iddel);
$delfef2 = mysql_query("delete from zakazviplati where id='$iddel';");
}


if($sent=="1"){
if($sum<1500 or ($sum>($obshzar*1.5-$usd[viplata]))){$err="Неверная сумма";}

if(substr($namber,0,1)=="R"){
if(strlen($namber)!="13"){$err="Неверно введен кошелек";}
}else{
if(!preg_match("/[0-9]{8,13}/", $namber)){$err="Неверно введен кошелек";}
}

//$email22 и $passw22 это емайл и текущий пароль который пользователь вводит в форму для заказа

if(!$email22 or $email22!=$usd[email]){$err="Неверно введен email или пароль";}
if(!$passw22 or $passw22!=$usd[passw]){$err="Неверно введен email или пароль";}

if(!$err){

$usprz = mysql_query("select * from zakazviplati where idlogin='$id';");
if($usprz){$usprz2 = mysql_fetch_array($usprz);}
if(!$usprz2[id]){

$sum = mysql_escape_string($sum);
$namber = mysql_escape_string($namber);

$usem12 = mysql_query("insert into zakazviplati values('','$sum','$maxmoney','$namber',now(),'2','$id');");}else{$err="Уже имееться заявка на пыплату";}

}

}}


Возможно ли как то взломать или обойти этот скрипт и сделать заказ не зная email и пароля?(email на сайте нигде не отображается)

  Ответить  
Rambler's Top100
вверх

Rambler's Top100 Яндекс.Метрика Яндекс цитирования