Warnung: Sicherheitslücken in Addons

[Laemmi]

Hallo,
@dragon11, Danke für die Mühe die du dir gemacht hast.

Eine Lösung für den Safari wäre auch (Danke an Parl und Didith1207) :

unter:

$einsatz = intval($_POST["einsatz"]);

dieses einfügen:

if ($einsatz != 1000 && $einsatz != 2500 && $einsatz != 5000 && $einsatz != 10000 && $einsatz != 25000 && $einsatz != 50000) die("&result=Fehlerhafter Einsatz&");

Natürlich die Zahlen an die Einsätze anpassen die ihr bei eurem Safari habt.

Dies lässt sich analog dann auch für andere Games anwenden, die feste Einsätze haben.

Bei Games die einen variablen Spieleinsatz haben könnt ihr folgendes verwenden:

if ($einsatz < 1000 or $einsatz > 100000) {
die();
}

Dabei natürlich wieder die Zahlen an euer Game anpassen.

Mit diesen 2 Methoden verhindert ihr das irgendwelche Spinner mit falschen Einsätzen an euren Games spielen.

Ich hab die letzten 2 Tage viele Games getestet und kann euch sagen es sind wirklich einige Games betroffen wo Abzockern Tür und Tor offensteht!

LG Laemmi

[Gremlin]

Bei solchen groben Sachen könnte man sogar noch einen Schritt weitergehen und den Account des Users automatisch sperren mit entsprechendem Hinweistext z.B.

"[11.10.2008 - 15:35] Faken in der Zeche (Einsatz manipuliert)"

So mach ich das bei mir weil den Einsatz kann man in der Regel nicht ausversehen manipulieren und so schützt man sich direkt davor.

PHP-Code:

$sperrgrund = '['.date("d.m.Y - H:i").'] Faken in der Zeche (Einsatz manipuliert)';
db_query('UPDATE '.$db_prefix.'_kontodaten SET status=3, hinweis="'.$sperrgrund.'" WHERE uid='.$_SESSION['uid'].' LIMIT 1'); 


Gruß
cdp

[dragon11]

@Laemmi, meine gepostete Antwort ist richtig,

wie ich sagte, müssen die Einsätze in einem array sein.
Im Moment passiert nix, das ist auch richtig so.
Die Lösung von gremlin kommt erst rein, wenn es getestet ist.

Die Lösung die du anbietest ist auch richtig, aber viel zu umständlich, man kann die Einsätze bei vielen Spielen im Admin verändern, wer dann nicht daran denkt, auch in der _game.php zu ändern, wundert sich dann warum er soviele Faker hat.

[DieH00ka]

lol. ja das wäre doof ^^

wegen dem automatischen sperren.
wie genau binde ich das ein ?

Beispiel beim Safari-Slot (den entbugge ich gerade)

PHP-Code:

session_start();

$einsatz = intval($_POST["einsatz"]);
if ($einsatz != 25000 && $einsatz != 50000 && $einsatz != 100000 && $einsatz != 250000 && $einsatz != 500000 && $einsatz != 1000000) die("&result=Fehlerhafter Einsatz&"); 


wäre nett wenn du mir das in dem php-code gleich einbauen könntest

[bulli]

Was kann man eigentlich nun mei solchen Addons machen, bei denen man Text eingeben kann und in einer DB gespeichert wird, damit dort keine SQL Injections ein gefügt werden können oder das man keine Daten aus der DB auslesen kann?

[DieH00ka]

@ bulli

nettes Ava

Jo die Frage ist ganz gut. Bei der bezahlten Shoutbox zum Beispiel.

[eRaaaa]

Was kann man eigentlich nun mei solchen Addons machen, bei denen man Text eingeben kann und in einer DB gespeichert wird, damit dort keine SQL Injections ein gefügt werden können oder das man keine Daten aus der DB auslesen kann?

mhm entweder durch die funktion mysql_real_escape_string sofenr es sich um eine mysql db handelt, das macht aber das vms sowieso schon wenn du db_query anstatt mysql_query benutzt. oder magic_quotes_gpc. aber beides auf garkeinen fall. denn das ist sozusagen wie doppelt negieren ;D (stripslashes() benutzen dann!, magic_quotes is aber eh veraltet und wird bald eh abgesrtz *g*)
ansonsten könntest du immer den typ umwandeln des übergebenen paramters, z.b. in int

[Gremlin]

entweder durch die funktion mysql_real_escape_string sofenr es sich um eine mysql db handelt, das macht aber das vms sowieso schon wenn du db_query anstatt mysql_query benutzt.

Nicht korrekt, die Funktion db_query() bietet die Möglichkeit Variablen abzusichern dafür muss man sie aber richtig anwenden.

Die Funktion wird z.B. so genutzt:

PHP-Code:

db_query('SELECT status FROM %s WHERE `%s`=%d','vms_kontodaten','uid',184974); 


[Laemmi]

Hallo,
Danke für die weiteren Anregungen.

LG Laemmi