s. Schnippsel zum sortieren v. Textlinks

[Schmuse_Kater40]

Suche :
ON (t1.tan = t2.tan AND (t2.uid = '.$_SESSION['uid'].' OR t2.ip = "'.$ip.'") AND t2.bis >= '.time().')
WHERE t2.tan IS NULL AND t1.werbeart = "forcedbanner" AND t1.menge > 0 AND t1.status = 1 AND t1.verdienst > 0 AND t1.sponsor != '.$_SESSION['uid'].' ORDER BY t1.verdienst DESC LIMIT '.$usr['max_forced'].'');





Ersetze dies mit folgendem :
ON (t1.tan = t2.tan AND (t2.uid = '.$_SESSION['uid'].' OR t2.ip = "'.$ip.'") AND t2.bis >= '.time().')
WHERE t2.tan IS NULL AND t1.werbeart = "forcedbanner" AND t1.menge > 0 AND t1.status = 1 AND t1.verdienst > 0 AND t1.sponsor != '.$_SESSION['uid'].' ORDER BY t1.'.$usr['var'].' '.$usr['vonu'].' LIMIT '.$usr['max_forced'].'');[/php]Eventuell muss ja nur was geändert werden

Wenn ich mich jetzt nicht ganz schwer täusche musst du es so ersetzen:

PHP-Code:

ON (t1.tan = t2.tan AND (t2.uid = '.$_SESSION['uid'].' OR t2.ip = "'.$ip.'") AND t2.bis >= '.time().') 
          WHERE t2.tan IS NULL AND t1.werbeart = "paidlinks" AND t1.menge > 0 AND t1.status = 1 AND t1.verdienst > 0 AND t1.sponsor != '.$_SESSION['uid'].' ORDER BY t1.'.$usr['var'].' '.$usr['vonu'].' LIMIT '.$usr['max_forced'].''); 


Ansonsten wird nicht die Werbeart Paidlinks sondern die Werbeart Forcedbanner aus der Tabelle ausgelesen.

[breaker]

Wieso wird hier eigentlich Gnadenlos alle unbekannten Variablen und selbst IP-Adressen ohne Escapen in der DB abgefragt?

Wieso werden solche Klamotten nicht vorher Escapt?

Und was ist, wenn ein User die Daten zum Sortieren durch ein SQL-Injection ersetzt?

[jpwfour]

...
Und was ist, wenn ein User die Daten zum Sortieren durch ein SQL-Injection ersetzt?

Meinst du
$usr['var'].' '.$usr['vonu']

Die kommen ja aus der db, also sollten sie da überprüft werden, wo sie eingetragen werden, und nicht jedesmal, wenn sie verwendet werden.

Und wenn es hier noch um das Addon von adi geht, da wird afaik geprüft, dass dort auch nur "gültige" Werte eingetragen werden können.

Un zwecks unbekannten Variablen und IP Adresse:
Wo ist da was unbekannt in dem Query?
Die Session Variable sollte Scriptseitig nur mit einem Integer belegt werden können, die IP Adresse, da hat der Server bzw. dessen Konfiguration für zu sorgen, dass es auch eine IP Adresse ist.

[breaker]

Meinst du
$usr['var'].' '.$usr['vonu']

Die kommen ja aus der db, also sollten sie da überprüft werden, wo sie eingetragen werden, und nicht jedesmal, wenn sie verwendet werden.

Und wenn es hier noch um das Addon von adi geht, da wird afaik geprüft, dass dort auch nur "gültige" Werte eingetragen werden können.

Un zwecks unbekannten Variablen und IP Adresse:
Wo ist da was unbekannt in dem Query?
Die Session Variable sollte Scriptseitig nur mit einem Integer belegt werden können, die IP Adresse, da hat der Server bzw. dessen Konfiguration für zu sorgen, dass es auch eine IP Adresse ist.

zb. das:

HTML-Code:

(t2.uid = '.$_SESSION['uid'].' OR t2.ip = "'.$ip.'") AND t2.bis >= '.time().')

Punkt 1 und 2 sieht mir nicht nach behandelten Vars aus...Punkt 3 ist wohl schneller, wenn es vorher einer Var zugewiesen wurde (besonders bei vielen Querys)

[jpwfour]

zb. das:

HTML-Code:

(t2.uid = '.$_SESSION['uid'].' OR t2.ip = "'.$ip.'") AND t2.bis >= '.time().')

Punkt 1 und 2 sieht mir nicht nach behandelten Vars aus...Punkt 3 ist wohl schneller, wenn es vorher einer Var zugewiesen wurde (besonders bei vielen Querys)

Nur um das richtig zu verstehen:

Punkt1: $_SESSION['uid']

Wie sollte man hier was "reinschummeln" können?
Dieser Session Variablen wird die UserID aus der Datenbank zugewiesen, und sofern der Server nicht komplett schwachsinnig konfiguriert ist, kann man da keine anderen Werte "selber" reinsetzen, somit kann das nur eine Zahl von 0-XXXX sein oder ein leerer String (falls ausgeloggt)

Punkt 2: $ip

= $_SERVER['REMOTE_ADDR']

Auch hier gilt, sofern der Server/PHP nicht komplett falsch/veraltet sind, kommt hier eine gültige IP Adresse rein

Bei beiden ist es somit a) nicht Aufgabe des Scriptes an der Stelle, diese Variablen zu prüfen, b) wenn man das tatsächlich müsste, dann müsste man ja überall solche Variablen prüfen, was in ziemlichem Overkill enden würde (der eben sinnlos ist)

Punkt 3: time()

Also ob es schneller ist, diesen Wert eine Variablen zuzuweisen, bezweifle ich, auch wenn ich das nicht mit Sicherheit sagen kann.
Was aber dagegen spricht, ist bei "vielen Querys", dass ich vielleicht immer je Query die aktuelle Zeit haben will und nicht die, als time() einer Variablen zugewiesen wurde?
Auf jeden Fall spart man Speicherplatz, weil die Systemzeit eh immer vorhanden ist, also warum vorher speichern?
Selbst bei Aufrufen von date() hat vernünftige Software Caching Mechanismen, die zuvor Abgefragte Werte speichern.