Файл: btwars.ru/obrabotchik.php
Строк: 77
<?
if(!isset($_GET['msg']) || !isset($_GET['short_number'])) { exit; }
$db_host='localhost'; //Имя сервера СУБД;
$db_user='db1421082835'; // username СУБД;
$db_pass='asdf12'; //password СУБД ;
$db_name='db1421082835';//Имя базы данных;
if(!@mysql_connect($db_host, $db_user, $db_pass)) {
echo 'MySQL Ошибка подключения.';
} else {
if(!@mysql_select_db($db_name)) {
echo 'MySQL Ошибка database "'.$db_name.'"';
}
}
mysql_query("/*!40101 SET NAMES 'utf8' */");
# Перфикс в системе x-bill.ru
$PREFIX = "8692014";
# Создаем переменную msg для GET параметра msg.
$msg = htmlspecialchars($_GET['msg']);
# Создаем переменную с GET параметром short_number.
$num = $_GET['short_number'];
# Вырезаем из сообщение имя пользователя.
$id = trim(str_replace($PREFIX, "", $msg));
$Action = 1;
$items = array(
# Номер => Бонус.
'2325' => 300*$Action);
echo "okn";
# Задаем Контроллеру режим true.
$step = true;
# Проверяем, используется ли короткий номер.
if(!$items[$num]) {
echo "Ошибка, данный номер не используется.";
}
else
# Выбераем пользователя по login'у и выводим информацию колонок id, skidka, flowerbed.
$SelectChar = mysql_query("SELECT id FROM users WHERE id='{$id}'");
# Выбераем name, bank из таблицы kolhoz_collective.
$SelectCharBank = mysql_query("SELECT bank FROM users WHERE id='{$id}'");
# Проверяем, имеется ли пользователь в системе.
if(!$r = mysql_fetch_assoc($SelectChar)) {
echo "Ошибка, Пользователь {$id} не найден.";
$step = false;
}
# задаем стартовое значения для переменной $flowerbed.
$flowerbed = $items[$num];
# Контроллер ошибок
if($step) {
# Проверка flowerbed пользователя, если = 15 умножаем сумму на 2.
if($r['flowerbed'] == 15) {
# Если упользователя flowerbed -> 15 добавляем 100% от стартовой суммы СтартСумм*2.
$flowerbed = $items[$num]*2;
}
# В случае отсутствия информации банка стартовая ставка 0.
$GetBank = 0;
if($bank = mysql_fetch_assoc($SelectCharBank)) {
# Если имеются значения в банке то Значения*5, 1 еденица = 5%
$GetBank = $bank['bank']*10;
}
# Узнаем колличество бонусов, Бонусы * на значения банка / 100 = Сума процента банка.
$fBank = $items[$num]*$GetBank/100;
# Переменная с общей суммы пользователя.
$GetCountBonus = $flowerbed+$fBank+$r['skidka'];
# Запрос для добавления бонуса пользователю.
$update = mysql_query("UPDATE users SET g=`g`+{$GetCountBonus} WHERE id='{$id}'");
if($update) {
echo "Спасибо! Игрок {$id} получил {$GetCountBonus} Золота.
С уважением администрация проекта adbio.ru.";
} else {
echo "Ошибка, Обратитесь к Администрации проекта.";
}
}
function guard($var)
{
return mysql_real_
escape_string(trim($
var));
}
function cleanInput( $input ) {
$search = array (
'@<script[^>]*?>.*?</script>@si' ,
// Удаляем javascript
'@<;[/!]*?[^<>]*?>@si' ,
// Удаляем HTML теги
'@<style[^>]*?>.*?</style>@siU' ,
// Удаляем теги style
'@<![sS]*?--[ tnr]*>@'
// Удаляем многострочные
комментарии
) ;
$output = preg_replace ($search ,
'', $input ) ;
return $output;
}
function sanitize( $input ) {
if (is_array ( $input )) {
foreach ( $input as $var =>
$val ) {
$output [ $var ] = sanitize
($val ) ;
}
}
else {
if ( get_magic_quotes_gpc ())
{
$input = stripslashes
($input ) ;
}
$input = cleanInput
($input ) ;
$output =
mysql_real_escape_string ( $input ) ;
}
return $output;
}
// Использование:
$bad_string = "Привет! <script
src='http://www.evilsite.com/
bad_script.js'></script> Какой
хороший сегодня день!";
$good_string = sanitize($bad_string ) ;
// $good_string вернет "Привет!
Какой хороший сегодня день!"
// Также используйте для проверки
POST/GET данных
$_POST = sanitize( $_POST );
$_GET = sanitize( $_GET ) ;
function guard($var)
{
return mysql_real_
escape_string(trim($
var));
}
?>