Веб [DLE] магазин блоков

я как то не заморачивался над видом)[DOUBLEPOST=1391247825,1391218384][/DOUBLEPOST]Сделал выбор валюты оплаты

 

Как на счет корзины и истории?

 

корзину не хочу делать) а вот историю сейчас в планы добавлю)

 

)

 

ToDo:
Скидки + блок на сайт.
AJAX
Покупку скидок подневно ( например -30% за 250 рублей на неделю на весь товар кроме списков которые указываешь. например -30% за 250 рублей на неделю кроме земли. ) (зачем я написал >< сейчас VareZzZ в свой бизнес проект добавит)

 

Ajax лучше добавить в последнею очередь...

 

ajax нет, а скидки сделаю

 

Может кто-нибудь пару скринов бросить?

 

Что касается дыр, есть ли они?

 

вроде бы нет. от sql иньекций всё защищено. делал по советам qexy в плане защиты от инъекции и от xss атак.

 

На заказ пишешь? Требуется личный кабинет, или хотя бы убрать все уязвимости в уже готовом.

 

Каким плагином можно вывести купленные предметы из БД и вселить в себя на сервере?

 

вроде shoping cart или shop от qexy

 

xss атак? меня одного это насторожило?
Чего там в магазине такого, где пользователь вводит string и он после доступен всем игрокам?
Ну и не мог удержаться, я понимаю, каждый пишет как умеет, но
$buy_count = intval($_POST['count']);
if( ! empty ( $buy_count ) and $buy_count >= 1 ) {
// ... проверки, твой код
}
if (isset($_POST['count'])) {
$buy_count = intval($_POST['count']);
// ... проверки, используй isset
}
так же я не увидел проверки, что блоков < 256. У меня на сервере, после пары попыток выдачи блоков > 256, ложился сервер.

 

Мудрёно... Я так делаю:

Код:

$buy_count = intval($_POST['count']);
if($buy_count >= 1 ) {
// ... проверки, твой код
}

Если intval'у "скормить" пустоту - выдаст 0.[DOUBLEPOST=1393454247,1393453846][/DOUBLEPOST]

От xss толковой защиты нет. Можно на стороннем сайте разместить форму, которая будет отправлять запрос скрипту покупки.

 

Semen4ik, saharin94, вроде как бы обновил, Semen4ik, сделал проверку на кол-во больше 256.
saharin94, в смысле форму на другом сайте? и что будет? защита ведь идёт самим скриптом, то есть не важно откуда отправлять

 

isset() - ты думал её просто так придумали? Или её придумали чтобы все "шли через Китай", как ты? -_-[DOUBLEPOST=1393500668][/DOUBLEPOST]

лолшто? Что за бред ты несёшь?

Защита от xss, тот же htmlspecialchars($parm, ENT_QUOTES);

 

Semen4ik, отправка запросов с других сайтов - это тоже XSS. Потому он и называется межсайтинговый скриптинг.

 

ну а как он пропустит атаку если всё обрабатывается со стороны сервера?

 

пиши в стиле ООП, код компактнее