SMS veikals

[Ernijs_E]

Sveiki!

Šoreiz iztiksim bez nicinošiem komentāriem u.tml.!

 

Esmu atradis SMS veikala skriptu, ko sniedz TECHPOINT.LV - http://techpoint.lv/downloads/unlock_file_shop.v1.0.1.zip :)

Viss darbojas, vienīgi bez dizaina!

 

 

Šo topiku manuprāt ir vērts pinnot!

Edited August 17, 2010 by Ernijs_E

[Kaklz]

Maigi izsakoties ļoti bēdīgas kvalitātes skripts. Neskatoties uz netpoint.changelog.txt minēto

1.0.1:
- [fix] sql inject fix

 

SQL injekcija kodā tomēr rēgojas.

 

..
}elseif(isset($_GET['gief'])){
   $id = $_GET['gief'];
   $query = mysql_query("SELECT * FROM shop_links WHERE id = '$id'") or die (mysql_error());
..

 

Tāpat arī ģeniālais piegājiens check_result f-jā:

$prices = array ('15','25','35','50','60','75','95','150','200','250','300');

function check_result($code) {
   global $prices, $ntp_user_id;
   foreach($prices as $i => $key){
       $answer = file_get_contents("http://sms.techpoint.lv/confirm.php?code=$code&id=$ntp_user_id&price=$key", FALSE, NULL, 0, 140);
       if ($answer == 'key_ok') {
           return $key;
       }
   }
}

 

Tas nozīmē, ka pie rezultāta pārbaudes notiek maksimums 11 (!!!!) HTTP requesti vienas lapas ielādes laikā. Pilnīgs vājprāts!

 

Attiecīgi stipri apšaubu vēlmi šo topiku pinot.

[sheps]

es te nesen papeetiiju kaadi sms sniedzeeji lv vispaar ir (ir pat diezgan liela izvēle).. daudzi itkā ir apmierināti ar to techpoint bet es paskatiijos vinju paraugus un nospriedu ka šitik "gudri" tie ir vnk jāmāk sataisīt..

 

ja runaa par injekcijām tās ir bez maz vai uz katra soļa..

[toms42]

Atteja tas shops!

[So sick!]

}elseif(isset($_GET['gief'])){

$id = $_GET['gief'];

=>

}elseif(is_numeric($_GET['gief'])){

$id = intval($_GET['gief']);

 

Un tad var pinnot. :D