JimmyFMG
Mitglied
Dabei seit: 15.07.04
Beiträge: 36
Forenversion: 2.3
|
|
Mh shit hat wieder nicht geklappt. Habe den Link gerade nochmal an einen verschickt und der hat es wieder bekommen. Ich bin der einzige der 4 hat. Mir kommt es so vor als ob das nicht über 4 geht
Vielleicht hilft euch das
|
|
10.07.05 22:52 |
E-Mail
WWW
Finden
Als Freund hinzufügen
|
|
luis-x
Patrick Star 4 EVER
Dabei seit: 17.08.04
Beiträge: 633
Fähigkeiten: WBB2 Profi Herkunft: Hamburg Forenversion: 2.3; 2.2
Themenstarter
|
|
Ok danke wird gleich morgen gemacht !!
Mich würd es mal interessieren ob noch mehr leute das problem haben ...
__________________
|
|
10.07.05 22:56 |
E-Mail
WWW
Finden
Als Freund hinzufügen
|
|
|
Gibt es eine Möglichkeit das Spiel vom Guthabenhack zu trennen?
In einem Board habe ich keinen Guthabenhack und dort soll er auch nicht rein... Aber das Diebgame wäre dort spaßig
Ohne Guthaben bekomme ich natürlich auch ne SQL-Fehlermeldung.
Auf dem anderen Board werde ich es heute im Laufe des Tages mal einbauen. Dort ist der GH drin.
|
|
11.07.05 04:05 |
E-Mail
WWW
Finden
Als Freund hinzufügen
|
|
luis-x
Patrick Star 4 EVER
Dabei seit: 17.08.04
Beiträge: 633
Fähigkeiten: WBB2 Profi Herkunft: Hamburg Forenversion: 2.3; 2.2
Themenstarter
|
|
Dann suche mal nach folgendem Code und lösche diesen !!
code: |
1:
|
$db->unbuffered_query("UPDATE bb".$n."_users SET guthaben=guthaben+$pro_ueberfall, beute=beute+$pro_ueberfall WHERE userid='$diebgame[userid]'", 1); |
|
__________________
|
|
11.07.05 10:16 |
E-Mail
WWW
Finden
Als Freund hinzufügen
|
|
SvPe
Mitglied
Dabei seit: 07.05.05
Beiträge: 279
|
|
Schonmal was von SQL Injection gehört?
In dem Hack ist mindestens ein Bug mitdem man z.B. an den Hash des Adminpassworts kommen kann.
Um das zu verhindern musst du alle GET, POST und COOKIE (bzw. $_REQUEST) Variablen entweder mit addslashes/mysql_real_escape_string (mit einer der Funktionen, wenn die Variable ein String ist) oder mit intval(wenn die Variable eine Zahl ist) escapen.
z.B.
php: |
1:
|
$diebgame=$db->query_first("SELECT * FROM bb".$n."_users WHERE userid='".$_REQUEST[userid]."'"); |
|
durch
php: |
1:
|
$diebgame=$db->query_first("SELECT * FROM bb".$n."_users WHERE userid='".intval($_REQUEST[userid])."'"); |
|
ersetzten.
__________________
JID svpe@jabber.ccc.de
OpenPGP KeyID 0x2D682680
eMail sven@codeartists.org
There are only 10 types of people in this world: Those who understand binary and those who don't.
|
|
11.07.05 13:16 |
E-Mail
Finden
Als Freund hinzufügen
|
|
luis-x
Patrick Star 4 EVER
Dabei seit: 17.08.04
Beiträge: 633
Fähigkeiten: WBB2 Profi Herkunft: Hamburg Forenversion: 2.3; 2.2
Themenstarter
|
|
Ok danke werden wir so schnell wie möglichst machen !!!
__________________
|
|
11.07.05 14:40 |
E-Mail
WWW
Finden
Als Freund hinzufügen
|
|
luis-x
Patrick Star 4 EVER
Dabei seit: 17.08.04
Beiträge: 633
Fähigkeiten: WBB2 Profi Herkunft: Hamburg Forenversion: 2.3; 2.2
Themenstarter
|
|
So SvPe
Danke für die Info wurde soebend gefixt.
Du hast auch einen Bug gefunden?
Behalt ihn nicht, sondern verpetze ihn an uns hier im Thread. !
Danke für deine Mithilfe !!!
__________________
|
|
11.07.05 15:33 |
E-Mail
WWW
Finden
Als Freund hinzufügen
|
|
|
Zitat: |
Original von luis-x
Dann suche mal nach folgendem Code und lösche diesen !!
code: |
1:
|
$db->unbuffered_query("UPDATE bb".$n."_users SET guthaben=guthaben+$pro_ueberfall, beute=beute+$pro_ueberfall WHERE userid='$diebgame[userid]'", 1); |
|
|
Danke, aber das alleine hat noch nicht gereicht. Habe jetzt mal alles ausgeklammert wo das Wort guthaben vorkam und es scheint zu laufen
|
|
11.07.05 15:38 |
E-Mail
WWW
Finden
Als Freund hinzufügen
|
|
bartleby
Mitglied
Dabei seit: 12.09.04
Beiträge: 41
|
|
Was ich nicht so ganz spannend finde, dass in der bb1_diebgame_counter - Tabelle nur die ersten 2 Ziffern einer IP Adresse angezeigt werden. Somit könnte ein gesamtes IP-Netz teilweise garnicht mitspielen.
Fehler ist eine Abfrage, die nicht die komplette IP, sondern nur die ersten Ziffern einträgt. Ich denke nicht, dass das Sinn und Zweck ist. Oder täusche ich mich da?
Ich hab mir die diebgame.php mal angeschaut und habe folgendes gefunden:
code: |
1:
|
.intval($_SERVER['REMOTE_ADDR']) |
|
Wenn man dies nun ändert in
code: |
1:
|
.addslashes($_SERVER['REMOTE_ADDR']) |
|
dann wird auch die komplette IP-Aresse in der Datenbank gespeichert und es kann auch wirklich nur der Nutzer mit dieser IP-Adresse nicht ein weiteres mal innerhalb der Sperre beklaut werden.
Das muss an 3 Stellen geändert werden.
Wenn das nciht richtig sein sollte, dann vergesst es bitte wieder.
|
|
11.07.05 17:06 |
Finden
Als Freund hinzufügen
|
|
SvPe
Mitglied
Dabei seit: 07.05.05
Beiträge: 279
|
|
Zitat: |
Original von bartleby
Was ich nicht so ganz spannend finde, dass in der bb1_diebgame_counter - Tabelle nur die ersten 2 Ziffern einer IP Adresse angezeigt werden. Somit könnte ein gesamtes IP-Netz teilweise garnicht mitspielen.
Fehler ist eine Abfrage, die nicht die komplette IP, sondern nur die ersten Ziffern einträgt. Ich denke nicht, dass das Sinn und Zweck ist. Oder täusche ich mich da?
Ich hab mir die diebgame.php mal angeschaut und habe folgendes gefunden:
code: |
1:
|
.intval($_SERVER['REMOTE_ADDR']) |
|
Wenn man dies nun ändert in
code: |
1:
|
.addslashes($_SERVER['REMOTE_ADDR']) |
|
dann wird auch die komplette IP-Aresse in der Datenbank gespeichert und es kann auch wirklich nur der Nutzer mit dieser IP-Adresse nicht ein weiteres mal innerhalb der Sperre beklaut werden.
Das muss an 3 Stellen geändert werden.
Wenn das nciht richtig sein sollte, dann vergesst es bitte wieder.
|
das ist so richtig!
__________________
JID svpe@jabber.ccc.de
OpenPGP KeyID 0x2D682680
eMail sven@codeartists.org
There are only 10 types of people in this world: Those who understand binary and those who don't.
|
|
11.07.05 18:51 |
E-Mail
Finden
Als Freund hinzufügen
|
|
bartleby
Mitglied
Dabei seit: 12.09.04
Beiträge: 41
|
|
Zitat: |
Original von SvPe
Zitat: |
Original von bartleby
Was ich nicht so ganz spannend finde, dass in der bb1_diebgame_counter - Tabelle nur die ersten 2 Ziffern einer IP Adresse angezeigt werden. Somit könnte ein gesamtes IP-Netz teilweise garnicht mitspielen.
Fehler ist eine Abfrage, die nicht die komplette IP, sondern nur die ersten Ziffern einträgt. Ich denke nicht, dass das Sinn und Zweck ist. Oder täusche ich mich da?
Ich hab mir die diebgame.php mal angeschaut und habe folgendes gefunden:
code: |
1:
|
.intval($_SERVER['REMOTE_ADDR']) |
|
Wenn man dies nun ändert in
code: |
1:
|
.addslashes($_SERVER['REMOTE_ADDR']) |
|
dann wird auch die komplette IP-Aresse in der Datenbank gespeichert und es kann auch wirklich nur der Nutzer mit dieser IP-Adresse nicht ein weiteres mal innerhalb der Sperre beklaut werden.
Das muss an 3 Stellen geändert werden.
Wenn das nciht richtig sein sollte, dann vergesst es bitte wieder.
|
das ist so richtig! |
Also nicht?
|
|
11.07.05 21:37 |
Finden
Als Freund hinzufügen
|
|
|