Файл: vkolhoze.com/inc/admin.iconupload.php
Строк: 74
<?php
error_reporting(0);
if(isset($_GET['editicon']) && intval($_GET['editicon'])!=NULL && mysql_result(mysql_query("SELECT COUNT(*) FROM `kolhoz_user` WHERE `id` = '".intval($_GET['editicon'])."'"),0)!=0)
{
$edit=mysql_fetch_array(mysql_query("SELECT * FROM `kolhoz_user` WHERE `id` = '".intval($_GET['editicon'])."'"));
if (isset($_POST['ok'])) {
$pictures = array('.gif', '.jpg', '.jpeg', '.png');
$ext = strtolower(strrchr($_FILES['file']['name'], '.'));
$par = getimagesize($_FILES['file']['tmp_name']);
$fnames = $_FILES['file']['name'];
if (empty($fnames)) {
echo '<div class="event">Не выбран файл!</div>';
}
elseif ($par[0] >540 || $par[1] > 540) {
echo '<div class="event">Расширение файла более чем 540x540px!</div>';
}
elseif (preg_match('/.php/i', $fnames) || preg_match('/.pl/i', $fnames) || $fnames == '.htaccess' || !in_array($ext, $pictures)) {
echo '<div class="event">Запрещенный формат файла!</div>';
}
elseif ($_FILES['file']['size'] > 5024 * 100) {
echo '<div class="event">Размер файла более чем 500кб!</div>';
}
else{
$foto = 'images/icons/'.$edit['id'].'' . $ext;
copy($_FILES['file']['tmp_name'], $foto);
@chmod(basename($foto), 0777);
//iconka
mysql_query("UPDATE `kolhoz_user` SET `iconka` = '".$edit['id']."' WHERE `id` = '$edit[id]'");
header('Location: ');
}
}
echo "<div class='event'><h1><a href='?admin=iconupload'>Админка</a> / $admin_name</h1></div>";
echo '<div class="content"><div class="content block">';
echo '
<FORM ENCTYPE="multipart/form-data" action="" method="POST">
<br/>
<input class="reg" name="file" type="file"/>
<br/>
<input type="submit" name="ok" value="Загрузить"/>
</div></div></div>';
}else{
if(isset($_GET['oks']) && (isset($_POST['id']) or isset($_POST['nick']))){
$nick=my_esc($_POST['nick']);
$id=my_esc($_POST['id']);
if(mysql_result(mysql_query("SELECT COUNT(*) FROM `kolhoz_user` WHERE `nick` = '$nick' or `id` = '$id'"),0)!=0){
$sank=mysql_fetch_array(mysql_query("SELECT * FROM `kolhoz_user` WHERE `nick` = '$nick' or `id` = '$id'"));
header("Location:?admin=iconupload&editicon=$sank[id]");
} else echo err_game("Игрок не найден"); }
echo "<div class='content block'><form method="post" action="?admin=iconupload&oks" />n";
echo "ID:<br /><input name="id" type="text" maxlength='32' value='' /><br />n";
echo "или Ник:<br /><input name="nick" type="text" maxlength='32' value='' /><br />n";
echo "<input value='Отправить' type='submit' name="oks" /></form></div>n";
}
?>