s. Schnippsel zum sortieren v. Textlinks

[Plati]

ich habe mir schon den Hintern wundgesucht und nichts gefunden,aber wie ich jemanden kenne gibt es das wohl hier doch schon
Gibt es einen Schnippi für das sortieren von Textlinks ?

[Hardy]

kannst du eigentlich auch das hier einbauen

http://www.designerscripte.net/downl...do=file&id=199

[Plati]

das Teil hab ich ja drin für die Banner,aber auf Textlinks hat das Teil keine Lust
Hab alles in die paidlinks.php eingefügt so wie es in der Beschreibung steht für FC,aber dann zeigt er die Links nicht mehr sondern nur die URL´s der jeweiligen Kampagnen und nach einem Klick kommt Werbetan nicht bekannt.
Der Code der eingefügt werden muss:

PHP-Code:

Öffne jetzt die klick4.php 

Suche folgendes :
$usr = mysql_fetch_assoc (db_query ('SELECT max_forced FROM '.$db_prefix.'_userdaten WHERE uid = '.$_SESSION['uid'].' LIMIT 1'));





Ersetze dies mit folgendem :
$usr = mysql_fetch_assoc (db_query ('SELECT max_forced, var, vonu FROM '.$db_prefix.'_userdaten WHERE uid = '.$_SESSION['uid'].' LIMIT 1'));





Suche :
ON (t1.tan = t2.tan AND (t2.uid = '.$_SESSION['uid'].' OR t2.ip = "'.$ip.'") AND t2.bis >= '.time().') 
          WHERE t2.tan IS NULL AND t1.werbeart = "forcedbanner" AND t1.menge > 0 AND t1.status = 1 AND t1.verdienst > 0 AND t1.sponsor != '.$_SESSION['uid'].' ORDER BY t1.verdienst DESC LIMIT '.$usr['max_forced'].'');





Ersetze dies mit folgendem :
ON (t1.tan = t2.tan AND (t2.uid = '.$_SESSION['uid'].' OR t2.ip = "'.$ip.'") AND t2.bis >= '.time().') 
          WHERE t2.tan IS NULL AND t1.werbeart = "forcedbanner" AND t1.menge > 0 AND t1.status = 1 AND t1.verdienst > 0 AND t1.sponsor != '.$_SESSION['uid'].' ORDER BY t1.'.$usr['var'].' '.$usr['vonu'].' LIMIT '.$usr['max_forced'].''); 


Eventuell muss ja nur was geändert werden

[Xenon]

ich hatte einmal das auch für Textlinks gehabt aber da es damals keine wollte habe ich alle rechte daran verkauft wenn ich den jenigen finde dem ich es damals gab , sag ich dir bescheid

[Plati]

das wäre nett

[Schmuse_Kater40]

Suche :
ON (t1.tan = t2.tan AND (t2.uid = '.$_SESSION['uid'].' OR t2.ip = "'.$ip.'") AND t2.bis >= '.time().')
WHERE t2.tan IS NULL AND t1.werbeart = "forcedbanner" AND t1.menge > 0 AND t1.status = 1 AND t1.verdienst > 0 AND t1.sponsor != '.$_SESSION['uid'].' ORDER BY t1.verdienst DESC LIMIT '.$usr['max_forced'].'');





Ersetze dies mit folgendem :
ON (t1.tan = t2.tan AND (t2.uid = '.$_SESSION['uid'].' OR t2.ip = "'.$ip.'") AND t2.bis >= '.time().')
WHERE t2.tan IS NULL AND t1.werbeart = "forcedbanner" AND t1.menge > 0 AND t1.status = 1 AND t1.verdienst > 0 AND t1.sponsor != '.$_SESSION['uid'].' ORDER BY t1.'.$usr['var'].' '.$usr['vonu'].' LIMIT '.$usr['max_forced'].'');[/php]Eventuell muss ja nur was geändert werden

Wenn ich mich jetzt nicht ganz schwer täusche musst du es so ersetzen:

PHP-Code:

ON (t1.tan = t2.tan AND (t2.uid = '.$_SESSION['uid'].' OR t2.ip = "'.$ip.'") AND t2.bis >= '.time().') 
          WHERE t2.tan IS NULL AND t1.werbeart = "paidlinks" AND t1.menge > 0 AND t1.status = 1 AND t1.verdienst > 0 AND t1.sponsor != '.$_SESSION['uid'].' ORDER BY t1.'.$usr['var'].' '.$usr['vonu'].' LIMIT '.$usr['max_forced'].''); 


Ansonsten wird nicht die Werbeart Paidlinks sondern die Werbeart Forcedbanner aus der Tabelle ausgelesen.

[breaker]

Wieso wird hier eigentlich Gnadenlos alle unbekannten Variablen und selbst IP-Adressen ohne Escapen in der DB abgefragt?

Wieso werden solche Klamotten nicht vorher Escapt?

Und was ist, wenn ein User die Daten zum Sortieren durch ein SQL-Injection ersetzt?

[jpwfour]

...
Und was ist, wenn ein User die Daten zum Sortieren durch ein SQL-Injection ersetzt?

Meinst du
$usr['var'].' '.$usr['vonu']

Die kommen ja aus der db, also sollten sie da überprüft werden, wo sie eingetragen werden, und nicht jedesmal, wenn sie verwendet werden.

Und wenn es hier noch um das Addon von adi geht, da wird afaik geprüft, dass dort auch nur "gültige" Werte eingetragen werden können.

Un zwecks unbekannten Variablen und IP Adresse:
Wo ist da was unbekannt in dem Query?
Die Session Variable sollte Scriptseitig nur mit einem Integer belegt werden können, die IP Adresse, da hat der Server bzw. dessen Konfiguration für zu sorgen, dass es auch eine IP Adresse ist.