JimmyFMG
Mh shit hat wieder nicht geklappt. Habe den Link gerade nochmal an einen verschickt und der hat es wieder bekommen. Ich bin der einzige der 4 hat. Mir kommt es so vor als ob das nicht über 4 geht
Vielleicht hilft euch das
luis-x
Ok danke wird gleich morgen gemacht !!
Mich würd es mal interessieren ob noch mehr leute das problem haben ...
JimmyFMG
Mh gips is komisch. Frage ich mich an was es bei mir liegt
Ruhrgebiet-Treff
Gibt es eine Möglichkeit das Spiel vom Guthabenhack zu trennen?
In einem Board habe ich keinen Guthabenhack und dort soll er auch nicht rein... Aber das Diebgame wäre dort spaßig
Ohne Guthaben bekomme ich natürlich auch ne SQL-Fehlermeldung.
Auf dem anderen Board werde ich es heute im Laufe des Tages mal einbauen. Dort ist der GH drin.
luis-x
Dann suche mal nach folgendem Code und lösche diesen !!
| code: |
1:
|
$db->unbuffered_query("UPDATE bb".$n."_users SET guthaben=guthaben+$pro_ueberfall, beute=beute+$pro_ueberfall WHERE userid='$diebgame[userid]'", 1); |
|
SvPe
Schonmal was von SQL Injection gehört?
In dem Hack ist mindestens ein Bug mitdem man z.B. an den Hash des Adminpassworts kommen kann.
Um das zu verhindern musst du alle GET, POST und COOKIE (bzw. $_REQUEST) Variablen entweder mit addslashes/mysql_real_escape_string (mit einer der Funktionen, wenn die Variable ein String ist) oder mit intval(wenn die Variable eine Zahl ist) escapen.
z.B.
| php: |
1:
|
$diebgame=$db->query_first("SELECT * FROM bb".$n."_users WHERE userid='".$_REQUEST[userid]."'"); |
|
durch
| php: |
1:
|
$diebgame=$db->query_first("SELECT * FROM bb".$n."_users WHERE userid='".intval($_REQUEST[userid])."'"); |
|
ersetzten.
luis-x
Ok danke werden wir so schnell wie möglichst machen !!!
Bluescreen
Ich hab mir den Code nochmal angeschaut ...
also den Fehler von JimmyFMG kann ich nicht bestätigen.
luis-x
So SvPe
Danke für die Info wurde soebend gefixt.
Du hast auch einen Bug gefunden?
Behalt ihn nicht, sondern verpetze ihn an uns hier im Thread. !
Danke für deine Mithilfe !!!
Ruhrgebiet-Treff
| Zitat: |
Original von luis-x
Dann suche mal nach folgendem Code und lösche diesen !!
| code: |
1:
|
$db->unbuffered_query("UPDATE bb".$n."_users SET guthaben=guthaben+$pro_ueberfall, beute=beute+$pro_ueberfall WHERE userid='$diebgame[userid]'", 1); |
|
|
Danke, aber das alleine hat noch nicht gereicht. Habe jetzt mal alles ausgeklammert wo das Wort guthaben vorkam und es scheint zu laufen
luis-x
ok. (war auch nur so auf die schnelle,
)
Bluescreen macht euch noch eine LITE version ohne Guthabenhack verbindung. !!!
Ruhrgebiet-Treff
| Zitat: |
Original von Ruhrgebiet-Treff
| Zitat: |
Original von luis-x
Dann suche mal nach folgendem Code und lösche diesen !!
| code: |
1:
|
$db->unbuffered_query("UPDATE bb".$n."_users SET guthaben=guthaben+$pro_ueberfall, beute=beute+$pro_ueberfall WHERE userid='$diebgame[userid]'", 1); |
|
|
Danke, aber das alleine hat noch nicht gereicht. Habe jetzt mal alles ausgeklammert wo das Wort guthaben vorkam und es scheint zu laufen
|
Fehlermeldungen kommen zumindest keine mehr. Aber gezählt wird die Beute auch nicht
6 Überfälle aber nichts erbeutet ->
http://www.baby-time.de/wbb2/diebgame.php
Schade, kann ich wohl doch nicht ohne Guthaben nutzen... die Mädels hätten Freude dran gehabt.
Edit:
| Zitat: |
| Bluescreen macht euch noch eine LITE version ohne Guthabenhack verbindung. !!! |
Na das hört sich doch super an
Bluescreen
Joa gerade fertig geworden. Werd ihn euch heute noch zur Verfügung stellen. Werd nur nochma auf Fehler durchsehen
Also bis nachher!
Ruhrgebiet-Treff
*freu*
Da werden meine Mädels Spaß haben
Danke Dir für die schnelle Umsetzung
bartleby
Was ich nicht so ganz spannend finde, dass in der bb1_diebgame_counter - Tabelle nur die ersten 2 Ziffern einer IP Adresse angezeigt werden. Somit könnte ein gesamtes IP-Netz teilweise garnicht mitspielen.
Fehler ist eine Abfrage, die nicht die komplette IP, sondern nur die ersten Ziffern einträgt. Ich denke nicht, dass das Sinn und Zweck ist. Oder täusche ich mich da?
Ich hab mir die diebgame.php mal angeschaut und habe folgendes gefunden:
| code: |
1:
|
.intval($_SERVER['REMOTE_ADDR']) |
|
Wenn man dies nun ändert in
| code: |
1:
|
.addslashes($_SERVER['REMOTE_ADDR']) |
|
dann wird auch die komplette IP-Aresse in der Datenbank gespeichert und es kann auch wirklich nur der Nutzer mit dieser IP-Adresse nicht ein weiteres mal innerhalb der Sperre beklaut werden.
Das muss an 3 Stellen geändert werden.
Wenn das nciht richtig sein sollte, dann vergesst es bitte wieder.
Match
Himmihergottzefix!
Ist das Teil jetzt XHTML valid oder nicht?
Darauf sollte man schon mal ne Antwort bekommen, weil ein guter Hack XHTML-konform sein sollte!
Wenn ich mir die Demo anschaue sehe ich 200 Fehler, aber die sind alle von der Homepage bedingt (denke ich) und deswegen würde ich gerne wissen, ob wenigstens der Hack ok ist!
Danke jetzt schon mal!
(Das war das 3. und letzte mal das ich die Frage stelle!)