WORLD-HACK.ORG

Das Forum zum Browsergame WORLD-HACK.ORG
http://board.world-hack.org/

Schade

http://board.world-hack.org/viewtopic.php?f=5&t=2021

Seite 4 von 6

Re: Schade

BeitragVerfasst: 20. Jan 2011, 20:01
von Lisa
Smutje hat geschrieben:
Lisa hat geschrieben:ich meine die Weiterverarbeitung von POST Anfragen...


hier ein kleiner Ausschnitt:
Code: Alles auswählen
$anza=$_POST[$anz];
                     
if($anza!="0")
      {
       $sql2="SELECT * FROM hardware WHERE id LIKE '".$anz."'";


was fällt dir auf? :D


@smutje ich kann so vieles :P


wenn ich diese paar zeilen lese, bekomme ich schon zuviel.

Lisa du Betrüger(in) ;)



@smutje
warum das ?
Sein Script ist doch Open Source :D


@kino
naja verbessere das erstmal :D




so und jetzt lasst uns nicht weiter abschweifen.

Re: Schade

BeitragVerfasst: 21. Jan 2011, 02:31
von ThaSpeedy
Wie meistens in Sicherheitssachen muss ich BlackByte, äääähmm er/es/sie heisst ja jetzt Lisa, recht geben :mrgreen:
warum nicht gleich so (auch wenns schon ein scheunentor ins (garten)haus darstellt)
Code: Alles auswählen
   
if($anza!=0)
      {
       $sql2="SELECT * FROM hardware WHERE id LIKE '".$_POST[$anz]."'";


Die Variable ist sowieso im ram und dann nochmal in den ram schreiben ?? Performanz :arrow:
Int zahlen(auch ganzzahlen gennant 0,1,2,3,4 usw) benötigen keine Konvertierung nach string oder char was wiederum Ram/CPU benötigt (das mach php aus dem zwischen den " " )

Und so leute wollen dann an einem Browsergame Proggen? Sorry lernt erstmal Basic's und dann lernt was Performanc heisst!
Felder ansprechen anstatt * in Querys z.b. ;)

Grüssle
Speedy

Re: Schade

BeitragVerfasst: 21. Jan 2011, 13:47
von Lisa
och speedy...

musst du mir meinen auftritt schlecht machen? :D



Naja das sind dann halt die möchtegern Programmierer, kann man nicht ändern...


Grüße,
ein Freund^^

Re: Schade

BeitragVerfasst: 22. Jan 2011, 01:50
von ThaSpeedy
Wieso schlecht machen...
Ich lob dich sogar mein(e) Süße(r) ;-)

Ich wollte nurmal zeigen das es nachvollziebar ist das Atze euch ablehnt/ignoriert. Nicht mehr, nicht weniger :!:

Re: Schade

BeitragVerfasst: 22. Jan 2011, 11:05
von Lisa
Ok, falsch verstanden :D


Hab dich doch auch lieb ;)


*hust*

Re: Schade

BeitragVerfasst: 24. Jan 2011, 09:25
von Str0ke
bei dem code frag ich mich was wohl in $anz steht^^

@thaspeedy:

du hast da einen kleinen fehler drin :P
in die variable $anza schreibt er den POST, und ohne die variable macht das IF wenig sinn, außer man ersetzt die variable durch die POST abfrage.

aus:
Code: Alles auswählen
       
    if($anza!=0)
          {
           $sql2="SELECT * FROM hardware WHERE id LIKE '".$_POST[$anz]."'";



mach:
Code: Alles auswählen
       
    if($_POST[$anz] != 0)
          {
           $sql2="SELECT * FROM hardware WHERE id LIKE '".$_POST[$anz]."'";



PS: den programmierstil mag ich GAR NICHT!!!!
wenn man mehrere selects in einem code hat, muss man jedes mal genauer hin sehen wenn die select variablen "$sql1,$sql2,......." heißen.
deswegen pack ich immer kürzel mit in variablen namen, z.B. Userdaten: $user_sql = "SELECT ...."; $user_query ="mysql_......" usw....

Re: Schade

BeitragVerfasst: 24. Jan 2011, 20:08
von Lisa
lol
was geht?


schau doch noch mal das Script an....

Speedy hat das nur klein verbessert.
Dort ist eine richtig große Sicherheitslücke vorhanden...
Naja wayne, nicht mein Problem^^

Ich würde das Script so niemals verwenden ;)




PS: Klassen-Programmierung ftw

Re: Schade

BeitragVerfasst: 25. Jan 2011, 16:43
von ATZENPOWER
ich find es schade das das voten scheinbar immer noch zur minderheit zählt... also votet

Re: Schade

BeitragVerfasst: 25. Jan 2011, 17:19
von ThaSpeedy
Str0ke hat geschrieben:bei dem code frag ich mich was wohl in $anz steht^^

@thaspeedy:

du hast da einen kleinen fehler drin :P
in die variable $anza schreibt er den POST, und ohne die variable macht das IF wenig sinn, außer man ersetzt die variable durch die POST abfrage.

aus:
Code: Alles auswählen
       
    if($anza!=0)
          {
           $sql2="SELECT * FROM hardware WHERE id LIKE '".$_POST[$anz]."'";



mach:
Code: Alles auswählen
       
    if($_POST[$anz] != 0)
          {
           $sql2="SELECT * FROM hardware WHERE id LIKE '".$_POST[$anz]."'";



PS: den programmierstil mag ich GAR NICHT!!!!
wenn man mehrere selects in einem code hat, muss man jedes mal genauer hin sehen wenn die select variablen "$sql1,$sql2,......." heißen.
deswegen pack ich immer kürzel mit in variablen namen, z.B. Userdaten: $user_sql = "SELECT ...."; $user_query ="mysql_......" usw....



Schieb ma nich so ne welle
Das mit dem $query1 usw ist ehhh voll outdated....
Was sollte da umständlich sein^^
Code: Alles auswählen

SpeedyClass::sqlBind(' Array(
"QUERY1';",
"QUERY2;",
"QUERY3;"
);


Sprichwort PrePair und dann exec
Code: Alles auswählen
$user = SpeedyClass::escapeQ($_POST[$user]);
SpeedyClass::sqlBind('SELECT username FROM users WHERE username=:user;',$user);
if(SpeedyClass::sqlExec() == false)
{
SpeedyClass::sqlRollback();
}
else
{
//weitermachen
}

Re: Schade

BeitragVerfasst: 26. Jan 2011, 16:53
von Lisa
du verwirrst die nur speedy :D
Alle Zeiten sind UTC + 1 Stunde
Seite 4 von 6
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
http://www.phpbb.com/