Ищу плагин Ищю плагин на выдачу приза за голосование на want2vote и Mctop в виде предмета и денег Iconemy

Ищю плагин на выдачу приза за голосование на want2vote и Mctop в виде предмета и денег Iconemy и чтобы получить подарок не надо было водить разные команды всего лиш /gb

 

Up[DOUBLEPOST=1371093512,1371092401][/DOUBLEPOST]Up

 

Ну деньги они сразу заносятся в бд. Возьми плагин на выдачу предметов и все.

 

Кстати насчёт скриптов, мне кажется или там опять ' не фильтруются?
Хоть и внутри инсерта, но всё же помжно попробовать разделить SQL запросы с помощь ;

 

Ты про какой скрипт?

 

Про стоковый скрипт голосования mctop, остальные предлагаемые топами ещё не смотрел.

 

Я всегда проверяю сам.

 

Просто

$player = trim($_GET['player']);

$sql = 'UPDATE `'.trim($iconomy).'` SET `balance` = `balance` + \''.intval($pay).'\' WHERE `username` = \''.strtolower($player).'\'';

и тут должны вылезти проблемы ибо ' в имени должна ломать запрос, или я не прав?
В любом случае сейчас проверю. Простой запрос без фильтрации выдаёт ошибку если загнать запрос тупо в мускуль, сейчас наверну деевер(лень фигачиться с ручной установкой всего) и проверю в реальных условиях.

 

А ты про этот. Так я его не ставил потому и не проверял .
$player = trim(mysql_real_escape_string($_GET['nickname']));
$player = trim(mysql_real_escape_string($_GET['player']));

 

Это одна здоровенная дыра, я не знаю пропускает ли mctop ', но даже если не пропускает - то скрипт можно попробовать найти по прямой ссылке.
Кто-нибудь попробуйте вкатать в поле ника 'test и посмотрите что придёт в скрипт, это важно.

 

Щас я исправлю обновлю у себя.[DOUBLEPOST=1371101998,1371101922][/DOUBLEPOST]Все исправил.

 

Если mctop пропускает ' то уже поздно. Многим снова кранты. Хотя так им и надо, нефиг скрипт не смотря в код ставить. Да даже если не пропускает, у многих скрипт хранится в сайт/mctop.пыхпых

 

А да для мстопа еще можно секретное слово там потдерживается. А вот для вант2воте нету. Так что если найдут скрипт то смогут накручивать бонусы . Я хз почему в этом скрипте нету его, скрипт то не мой.

 

Это не самое страшное, у многих всё лежит в одной бд, а значит мы может по всей бд шаблаться. SQL запросы прекрасно разделяются ; . Хоть DROP_DATABASE вставляй, всё равно раки от рута скрипты крутят, вот смех то. Просто тут спецов по взлому нет, так что применить на практике не так то легко.

 

Так я добавил секретное слово для мстоп.
$hash = trim(mysql_real_escape_string($_GET['hash']));

$realhash = md5($config['secret_word'].$player);
if ($hash != $realhash) {
die('Access denied!');
}

 

Никто почти не обновляет скрипты топов и берут не все у тебя, их по инету можно найти дофига и все дырявые.
Так что осталось проверить пропускает ли mctop ' (кстати может у тебя свободный голос есть, ибо мой в 11 откатится только).

 

@Shevchik, Это уже проблема каждого. Если они не проверяют скрипты на дыры.

 

Ну тогда варганим ломающий запрос на взлом админки, выкладываем на читерский форум, берём попкорн и смотрим кино?

 

Ну кто нибудь даст норм скрипт для одновременой выдачи подарков с Want2Vote и MCTOP

 

Взовращаясь к теме.
вёл на мцтопе ' в поле ника, и знаешь что я увидел?

Fatal error: Database error in "/usr/home/mctopusr/mctop.su/sources/misc/classes/base.php" on line 65

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'Shev'chik--'', `awards_given`=`awards_given`+1 WHERE username = 'Shevchik' AND h' at line 1 in /usr/home/mctopusr/mctop.su/sources/sql/mysql.php on line 81

Приплыли. Кавычки не дойдут до сервера, сам сервер сломается раньше.