Файл: region_clean/present/admin.php
Строк: 461
<?php
#######################################
## Mod By KoT (borispol) [76-75-072] ##
#######################################
require_once "../start.php";
require_once "../sid.php";
header('Cache-Control: no-store, no-cache, must-revalidate');
if ($ver == "wml") header ("Content-type:text/vnd.wap.wml; charset=utf-8");
else header("Content-Type:text/html; charset=UTF-8");
require_once "../inc.php";
$link = connect_db();
list($row, $id, $ps, $fsize1, $fsize2) = check_login($link);
require_once "../version.php";
if ($ver == "wml") {
echo $xml;
echo $dtd;
echo "<wml>
<card id="index" title="Подарки чата | Админка">
<p align="center">";
} else {
echo "<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN"";
echo ""http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">";
echo "<html xmlns="http://www.w3.org/1999/xhtml">
<head><link rel="stylesheet" type="text/css" href="../css/$css.css"/>
<title>Подарки чата | Админка</title>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8"/></head><body>
<div align="center">";
}
$config_bookpost = 5;
$day = date("d.m.y");
$timer = date("H:i");
$lev = $row['level'];
echo '<b>Управление подарками</b><br/><br/>';
if ($action == '') {
if ($lev >= 7) {
echo '<a href="admin.php?'.$ses.'&ref='.$ref.'">Обновить</a> |
<a href="admin.php?action=add&'.$ses.'&ref='.$ref.'">Новая категория</a><br/>';
$resultx = mysql_query("SELECT `id`,`name`,`about`,`type` FROM `present` WHERE `type`='r' order by id;");
$count_users_on_pagex = mysql_num_rows($resultx);
for($i = 0; $i < $count_users_on_pagex; $i++)
{
$row = mysql_fetch_array($resultx);
$uid = $row[0];
$name = $row[1];
$about = $row[2];
$type = $row[3];
echo '<a href="admin.php?action=cat&uid='.$uid.'&'.$ses.'&ref='.$ref.'">'.$name.'</a><br/><small>'.$about.'</small><br/>';
echo '<a href="admin.php?action=edit&uid='.$uid.'&'.$ses.'">[Изменить]</a> <a href="admin.php?action=del&uid='.$uid.'&'.$ses.'">[Удалить]</a><br/><br/>';
}
echo '<br/>';
}
else
{
echo 'У тебя нет прав доступа!<br/><br/>';
}
}
//---------------------------------------- РЕДАКТИРОВАНИЕ -------------------------------------------//
if ($action == "edit") {
if ($lev >= 7) {
$uid = intval($_GET['uid']);
if (!is_numeric($uid))
{
echo 'Попытка взлома! Я тебя запомнил <font color="#FF0000">'.$_SERVER['REMOTE_ADDR'].'</font><br/>';
echo '<a href="../enter.php?'.$ses.'&ref='.$ref.'">В прихожую</a><br/>';
include_once '../foot.php';
ob_end_flush();
exit;
}
if (empty($_GET['uid'])) {
echo 'Ошибка!';
include_once '../foot.php';
ob_end_flush();
exit;
}
$typ = mysql_query("select * from `present` where id='" . $uid . "';");
$ms = mysql_fetch_array($typ);
if ($ms['type'] != "r")
{
echo 'Ошибка!';
include_once '../foot.php';
ob_end_flush();
exit;
}
echo "Изменить название:<br/><form action='admin.php?action=editgo&uid=".$uid."&".$ses."&ref=".$ref."' method='post'><input type='text' name='nf' value='" . $ms[name] . "'/><br/>Изменить описание:<br/><input type='text' name='ab' value='" . $ms[about] . "'/><br/><input type='submit' class='ibutton' name='submit' value='Ok!'/><br/></form>";
} else { echo 'У тебя нет прав доступа!<br/><br/>'; }
}
if ($action == "cat") {
if ($lev >= 7) {
$uid = intval($_GET['uid']);
if (!is_numeric($uid))
{
echo 'Попытка взлома! Я тебя запомнил <font color="#FF0000">'.$_SERVER['REMOTE_ADDR'].'</font><br/>';
echo '<a href="../enter.php?'.$ses.'&ref='.$ref.'">В прихожую</a><br/>';
include_once '../foot.php';
ob_end_flush();
exit;
}
if (empty($_GET['uid'])) {
echo 'Ошибка!';
include_once '../foot.php';
ob_end_flush();
exit;
}
$typ = mysql_query("select * from `present` where id='" . $uid . "';");
$ms = mysql_fetch_array($typ);
if ($ms['type'] != "r")
{
echo 'Ошибка!';
include_once '../foot.php';
ob_end_flush();
exit;
}
echo '<div class = "d1"><a href="admin.php?action=cat&uid='.$uid.'&'.$ses.'&ref='.$ref.'">Обновить</a> |
<a href="admin.php?action=addp&uid='.$uid.'&'.$ses.'&ref='.$ref.'">Новый подарок</a></div><br/>';
$resultx = mysql_query("SELECT `id`,`name`,`about`,`nick`,`attach`,`new_date`,`personal_id` FROM `present` WHERE `type`='p' AND `refid`='".$uid."' order by id;");
$count_users_on_pagex = mysql_num_rows($resultx);
for($i = 0; $i < $count_users_on_pagex; $i++)
{
$row = mysql_fetch_array($resultx);
$fid = $row[0];
$name = $row[1];
$about = $row[2];
$nick = $row[3];
$downtype = $row[4];
$dates = $row[5];
$cena = $row[6];
echo '<b>'.$name.'</b><br/><small>'.$about.'</small><br/>Цена подарка: '.$cena.'<br/>';
echo '<img src="resize.php?act='.$downtype.'&gname='.$fid.'&maxsize=60" alt=""/><br/>';
echo '<a href="admin.php?action=editf&fid='.$fid.'&'.$ses.'&ref='.$ref.'">[Изменить]</a> <a href="admin.php?action=delf&fid='.$fid.'&'.$ses.'&ref='.$ref.'">[Удалить]</a><br/><br/>';
}
echo '<br/>';
}
else { echo 'У тебя нет прав доступа!<br/><br/>'; }
}
//---------------------------------------- ИЗМЕНЕНИЕ СООБЩЕНИЯ -------------------------------------------//
if ($action == "editgo") {
if ($lev >= 7) {
$nf = check(trim($_POST['nf']));
$ab = check(trim($_POST['ab']));
$uid = intval($_GET['uid']);
if (!is_numeric($uid))
{
echo 'Попытка взлома! Я тебя запомнил <font color="#FF0000">'.$_SERVER['REMOTE_ADDR'].'</font><br/>';
echo '<a href="../enter.php?'.$ses.'&ref='.$ref.'">В прихожую</a><br/>';
include_once '../foot.php';
ob_end_flush();
exit;
}
if (empty($_GET['uid'])) {
echo 'Ошибка!';
include_once '../foot.php';
ob_end_flush();
exit;
}
$typ = mysql_query("select * from `present` where id='" . $uid . "';");
$ms = mysql_fetch_array($typ);
if ($ms['type'] != "r")
{
echo 'Ошибка!';
include_once '../foot.php';
ob_end_flush();
exit;
}
mysql_query("update `present` set name='" . $nf . "', about='" . $ab . "' where id='" . $uid . "';");
echo 'Категория изменена!<br/><br/>';
}
else { echo 'У тебя нет прав доступа!<br/><br/>'; }
}
//---------------------------------------- УДАЛЕНИЕ СООБЩЕНИЯ -------------------------------------------//
if ($action == "del") {
if ($lev >= 7) {
$uid = intval(check($_GET['uid']));
if (!is_numeric($uid))
{ echo 'Попытка взлома! Я тебя запомнил <font color="#FF0000">'.$_SERVER['REMOTE_ADDR'].'</font><br/>';
echo '<a href="../enter.php?'.$ses.'">В прихожую</a><br/>';
include_once '../foot.php';
ob_end_flush();
exit;
}
if (empty($_GET['uid'])) {
echo 'Ошибка!';
include_once '../foot.php';
ob_end_flush();
exit;
}
$typ = mysql_query("select * from `present` where id='" . $uid . "';");
$ms = mysql_fetch_array($typ);
if ($ms['type'] != "r")
{
echo 'Ошибка!';
include_once "../foot.php";
ob_end_flush();
exit;
}
if ($ms['down_type'] == 0)
{
$raz = mysql_query("select * from `present` where refid='" . $uid . "' and type='a' ;");
while ($raz1 = mysql_fetch_array($raz))
{
$tem = mysql_query("select * from `present` where refid='" . $raz1['id'] . "' and type='k';");
while ($tem1 = mysql_fetch_array($tem))
{
mysql_query("delete from `present` where `id`='" . $tem1['id'] . "';");
}
mysql_query("delete from `present` where `id`='" . $raz1['id'] . "';");
}
mysql_query("delete from `present` where `id`='" . $uid . "';");
}
if ($ms[down_type] == 1)
{
$raz = mysql_query("select * from `present` where refid='" . $uid . "' and type='f' ;");
while ($raz1 = mysql_fetch_array($raz))
{
$tem = mysql_query("select * from `present` where refid='" . $raz1['id'] . "' and type='a';");
while ($tem1 = mysql_fetch_array($tem))
{
$temk = mysql_query("select * from `present` where refid='" . $tem['id'] . "' and type='k';");
while ($tem1k = mysql_fetch_array($temk))
{
mysql_query("delete from `present` where `id`='" . $tem1k['id'] . "';");
}
mysql_query("delete from `present` where `id`='" . $tem1['id'] . "';");
}
mysql_query("delete from `present` where `id`='" . $raz1['id'] . "';");
}
mysql_query("delete from `present` where `id`='" . $uid . "';");
}
} else { echo 'У тебя нет прав доступа!<br/><br/>'; }
}
if ($action == "addp") {
if ($lev >= 7) {
if ($ver != "wml") {
echo "<form action='admin.php?action=addpgo&uid=".$uid."&".$ses."&ref=".$ref."' method='post' enctype='multipart/form-data'>
Выбери файл(max 200 кб.):<br/>
<input type='file' name='fail'/><br/>
Название подарка:<br/>
<input type='text' name='name'/><br/>
Описание подарка:<br/>
<input type='text' name='about'/><br/>
Цена подарка:<br/>
<input type='text' name='cena'/><br/>
<input type='submit' class='ibutton' value='Загрузить'/><br/>
</form>";
} else {
echo 'Загрузка возможна только в цветной версии чата!<br/>';
}
}
else
{
echo 'У тебя нет прав доступа!<br/><br/>'; }
}
if ($action == "addpgo") {
if ($lev >= 7) {
$name = check(trim($_POST['name']));
$about = check(trim($_POST['about']));
$cena = intval($_POST['cena']);
if (empty($about)) {
echo 'Введи описание подарка!!!';
echo '<br/><br/><a href="admin.php?action=addp&uid='.$uid.'&'.$ses.'&ref='.$ref.'">Назад</a><br/>
<a href="../apanel.php?'.$ses.'&ref='.$ref.'">В админку</a><br/>
<a href="../enter.php?'.$ses.'&ref='.$ref.'">В прихожую</a><br/>';
include_once '../foot.php';
ob_end_flush();
exit;
}
if (empty($name)) {
echo 'Введи название подарка!!!';
echo '<br/><br/><a href="admin.php?action=addp&uid='.$uid.'&'.$ses.'&ref='.$ref.'">Назад</a><br/>
<a href="../apanel.php?'.$ses.'&ref='.$ref.'">В админку</a><br/>
<a href="../enter.php?'.$ses.'&ref='.$ref.'">В прихожую</a><br/>';
include_once '../foot.php';
ob_end_flush();
exit;
}
if (empty($fail)) {
echo 'Не указан файл!';
echo '<br/><br/><a href="admin.php?action=addp&uid='.$uid.'&'.$ses.'&ref='.$ref.'">Назад</a><br/>
<a href="../apanel.php?'.$ses.'&ref='.$ref.'">В админку</a><br/>
<a href="../enter.php?'.$ses.'&ref='.$ref.'">В прихожую</a><br/>';
include_once '../foot.php';
ob_end_flush();
exit;
}
if (empty($cena)) {
echo 'А цену указать?';
echo '<br/><br/><a href="admin.php?action=addp&uid='.$uid.'&'.$ses.'&ref='.$ref.'">Назад</a><br/>
<a href="../apanel.php?'.$ses.'&ref='.$ref.'">В админку</a><br/>
<a href="../enter.php?'.$ses.'&ref='.$ref.'">В прихожую</a><br/>';
include_once '../foot.php';
ob_end_flush();
exit;
}
if (!is_numeric($cena))
{
echo 'Для цены используются только цифры!<br/>';
echo '<a href="../enter.php?'.$ses.'&ref='.$ref.'">В прихожую</a><br/>';
include_once '../foot.php';
ob_end_flush();
exit;
}
if ($cena > 10000)
{
echo 'Не нужно такую большую цену!<br/>';
echo '<a href="../enter.php?'.$ses.'&ref='.$ref.'">В прихожую</a><br/>';
include_once '../foot.php';
ob_end_flush();
exit;
}
$uid = intval($_GET['uid']);
if (!is_numeric($uid))
{
echo 'Попытка взлома! Я тебя запомнил <font color="#FF0000">'.$_SERVER['REMOTE_ADDR'].'</font><br/>';
echo '<a href="../enter.php?'.$ses.'&ref='.$ref.'">В прихожую</a><br/>';
include_once '../foot.php';
ob_end_flush();
exit;
}
if (empty($_GET['uid'])) {
echo 'Ошибка!';
include_once "../foot.php";
ob_end_flush();
exit;
}
function format($name)
{
$f1 = strrpos($name, ".");
$f2 = substr($name, $f1 + 1, 999);
$fname = strtolower($f2);
return $fname;
}
$fname = $_FILES['fail']['name'];
$fsize = $_FILES['fail']['size'];
$ftip = format($fname);
$newfotorazmer = GetImageSize($_FILES['fail']['tmp_name']);
$width = $newfotorazmer[0];
$height = $newfotorazmer[1];
if ($fsize >= 1024 * 200)
{
echo 'Вес файла более 200 кб!<br/>';
echo '<a href="../enter.php?'.$ses.'&ref='.$ref.'">В прихожую</a><br/>';
include_once '../foot.php';
ob_end_flush();
exit;
}
if (eregi("[^a-z0-9.()+_-]", $fname))
{
echo 'Корявое название файла. Никаких символов и русских букв!<br/>';
echo '<a href="../enter.php?'.$ses.'&ref='.$ref.'">В прихожую</a><br/>';
include_once '../foot.php';
ob_end_flush();
exit;
}
if (eregi("[^a-z0-9.()+_-]", $newname))
{
echo 'В новом названии присутствуют левые символы! Только латиница и цифры!<br/>';
echo '<a href="../enter.php?'.$ses.'&ref='.$ref.'">В прихожую</a><br/>';
include_once '../foot.php';
ob_end_flush();
exit;
}
if ((preg_match("/.php/i", $fname)) or (preg_match("/.pl/i", $fname)) or ($fname == ".htaccess") or (preg_match("/php/i", $newname)) or (preg_match("/.pl/i", $newname)) or ($newname == ".htaccess"))
{
echo 'Попытка взлома! Я тебя запомнил <font color="#FF0000">'.$_SERVER['REMOTE_ADDR'].'</font><br/>';
echo'<a href="../enter.php?'.$ses.'&ref='.$ref.'">В прихожую</a><br/>';
include_once '../foot.php';
ob_end_flush();
exit;
}
if ($width <= 320 and $height <= 240 and $height > 10 and $width > 10) {
$retime = time();
$dates = date("d.m.y");
mysql_query("insert into `present` values(0,'".$uid."','" . $name . "','" . $about . "','".$idsd."','p','0','0','".$ftip."','0','".$cena."','".$retime."','0','".$dates."');");
$xid = mysql_insert_id();
$newname = "$xid.$ftip";
if ((move_uploaded_file($_FILES["fail"]["tmp_name"], "../present_data/$newname")) == true)
{
$ch = $newname;
@chmod("$ch", 0777);
@chmod("../present_data/$ch", 0777);
echo 'Подарок загружен!<br/>';
}
else
{
echo 'Ошибка при загрузке файла<br/>';
}
} else {
echo 'Ошибка при загрузке файла, максимальный размер до 320x240 px!<br/>';
}
}
else
{
echo 'У тебя нет прав доступа!<br/><br/>'; }
}
if ($action == "add") {
if ($lev >= 7) {
if ($ver != "wml") {
echo '<form action="admin.php?action=addn&'.$ses.'&ref='.$ref.'" method="post">
<b>Название:</b> <br/><input type="text" name="name"/><br/>
<b>Описание:</b><br/>
<textarea cols="25" rows="3" name="msg"></textarea><br/>
<br/><input type="submit" class="ibutton" value="Продолжить!" /></form><br/>';
} else {
echo 'Название:<br/>
<input name="name"/><br/>
Описание:<br/>
<input name="msg"/><br/>
<anchor>Создать!
<go href="admin.php?action=addn&'.$ses.'&ref='.$ref.'" method="post">
<postfield name="msg" value="$(msg)"/>
<postfield name="name" value="$(name)"/>
</go></anchor><br/>--------------------<br/>';
}
}
else
{
echo 'У тебя нет прав доступа!<br/><br/>';
}
}
if ($action == "addn") {
if ($lev >= 7) {
$dates = date("d.m.y");
$times = date("H:i");
$time = time();
$name = $_POST['name'];
$msg = $_POST['msg'];
$id = $row['id'];
$name = mysql_real_escape_string(check($name));
$msg = mysql_real_escape_string(check($msg));
if (empty($msg)) {
echo 'Введи описание папки!!!';
echo '<br/><br/><a href="admin.php?'.$ses.'&ref='.$ref.'">Назад</a><br/>
<a href="../apanel.php?'.$ses.'&ref='.$ref.'">В админку</a><br/>
<a href="../enter.php?'.$ses.'&ref='.$ref.'">В прихожую</a><br/>';
include_once '../foot.php';
ob_end_flush();
exit;
}
if (empty($name)) {
echo 'Введи название папки!!!';
echo '<br/><br/><a href="admin.php?'.$ses.'&ref='.$ref.'">Назад</a><br/>
<a href="../apanel.php?'.$ses.'&ref='.$ref.'">В админку</a><br/>
<a href="../enter.php?'.$ses.'&ref='.$ref.'">В прихожую</a><br/>';
include_once '../foot.php';
ob_end_flush();
exit;
}
$type = 0;
$r = mysql_query ("select id,user from users where id='$id';");
$arr = mysql_fetch_array($r);
$login = $arr['user'];
$usid = $arr['id'];
mysql_query("insert into `present` values(0,'','".$name."','" . $msg . "','','r','','','','".$type."','','','','');");
echo 'Папка создана!<br/><br/>';
}
else
{
echo 'У тебя нет прав доступа!<br/><br/>';
}
}
//---------------------------------------- РЕДАКТИРОВАНИЕ -------------------------------------------//
if ($action == "editf") {
if ($lev >= 7) {
$fid = intval($_GET['fid']);
if (!is_numeric($fid))
{
echo 'Попытка взлома! Я тебя запомнил <font color="#FF0000">'.$_SERVER['REMOTE_ADDR'].'</font><br/>';
echo '<a href="../enter.php?'.$ses.'&ref='.$ref.'">В прихожую</a><br/>';
include_once '../foot.php';
ob_end_flush();
exit;
}
if (empty($_GET['fid'])) {
echo 'Ошибка!';
include_once '../foot.php';
ob_end_flush();
exit;
}
$typ = mysql_query("select * from `present` where id='" . $fid . "';");
$ms = mysql_fetch_array($typ);
if ($ms['type'] != "p")
{ echo 'Ошибка!';
include_once '../foot.php';
ob_end_flush();
exit;
}
echo "Изменить название:<br/><form action='admin.php?action=editfgo&fid=".$fid."&".$ses."&ref=".$ref."' method='post'><input type='text' name='nf' value='" . $ms[name] . "'/><br/>Изменить описание:<br/><input type='text' name='ab' value='" . $ms[about] . "'/><br/>Изменить цену:<br/><input type='text' name='cena' value='" . $ms[personal_id] . "'/><br/><input type='submit' class='ibutton' name='submit' value='Ok!'/><br/></form>";
} else { echo 'У тебя нет прав доступа!<br/><br/>'; }
}
//---------------------------------------- ИЗМЕНЕНИЕ СООБЩЕНИЯ -------------------------------------------//
if ($action == "editfgo") {
if ($lev >= 7) {
$nf = mysql_real_escape_string(check(trim($_POST['nf'])));
$ab = mysql_real_escape_string(check(trim($_POST['ab'])));
$cena = intval($_POST['cena']);
$fid = intval($_GET['fid']);
if (!is_numeric($fid))
{
echo 'Попытка взлома! Я тебя запомнил <font color="#FF0000">'.$_SERVER['REMOTE_ADDR'].'</font><br/>';
echo '<a href="../enter.php?'.$ses.'&ref='.$ref.'">В прихожую</a><br/>';
include_once '../foot.php';
ob_end_flush();
exit;
}
if (!is_numeric($cena))
{
echo 'Цены пишутся в цифрах!';
echo '<a href="../enter.php?'.$ses.'&ref='.$ref.'">В прихожую</a><br/>';
include_once '../foot.php';
ob_end_flush();
exit;
}
if (empty($_GET['fid'])) {
echo 'Ошибка!';
include_once '../foot.php';
ob_end_flush();
exit;
}
$typ = mysql_query("select * from `present` where id='" . $fid . "';");
$ms = mysql_fetch_array($typ);
if ($ms['type'] != "p")
{
echo 'Ошибка!';
include_once '../foot.php';
ob_end_flush();
exit;
}
mysql_query("update `present` set name='" . $nf . "', about='" . $ab . "', personal_id='" . $cena . "' where id='" . $fid . "';");
echo 'Подарок изменен!<br/><br/>';
}
else { echo 'У тебя нет прав доступа!<br/><br/>'; }
}
//---------------------------------------- УДАЛЕНИЕ СООБЩЕНИЯ -------------------------------------------//
if ($action == "delf") {
if ($lev >= 7) {
$fid = intval($_GET['fid']);
if (!is_numeric($fid) or empty($_GET['fid']))
{
echo 'Попытка взлома! Я тебя запомнил <font color="#FF0000">'.$_SERVER['REMOTE_ADDR'].'</font><br/>';
echo'<a href="../enter.php?'.$ses.'">В прихожую</a><br/>';
include_once 'foot.php';
exit;
}
$typ = mysql_query("select * from `present` where id='" . $fid . "';");
$ms = mysql_fetch_array($typ);
if ($ms['type'] != "p")
{
echo 'Ошибка!<br/>';
include_once 'foot.php';
exit;
}
$rxd = mysql_query ("select * from `present` where `id`='$fid';");
$arrxd = mysql_fetch_array($rxd);
$levxs = $arrxd['attach'];
if (unlink("../present_data/$fid.$levxs")) {
mysql_query("delete from `present` where `id`='" . $fid . "';");
echo 'Подарок успешно удален!<br/>';
} else {
echo 'Ошибка!<br/>';
}
include_once 'foot.php';
exit;
} else { echo 'У тебя нет прав доступа!<br/><br/>'; }
}
echo '<a href="admin.php?'.$ses.'&ref='.$ref.'">Главная подарков</a><br/>';
$r = mysql_query ("select id,user,level from users where id='$idsd';");
$arr = mysql_fetch_array($r);
$lev = $arr['level'];
if ($lev >= 7) {
echo '<a href="../apanel.php?'.$ses.'&ref='.$ref.'">В админку</a><br/>';
}
echo '<div class = "d1"><a href="index.php?'.$ses.'&ref='.$ref.'">Обзор подарков</a><br/>
<a href="../enter.php?'.$ses.'&ref='.$ref.'">В прихожую</a></div>';
include_once '../foot.php';
ob_end_flush();
exit;
?>