Продвинутый профиль пользователя ( by merdox )

В сети уже давно скитается эта модификация с не доработками , но бесплатно . В принципе функционал отличный , хотя имеет ряд неисправностей якобы оставлены специально автором против барыг . Они весьма не критичны , за исключением одной ! Есть дырочка , через которую можно просто поснимать всем пользователям бонусы , и никто не заподозрит Вас в этом злодеянии . Все весьма просто и не составит особого труда навредить конкуренту у которого стоит данный мод . Сделать это можно путем правкой исходника , например через тот же самый Firebug !
Заходим в профиль пользователя , открываем исходник страницы, ищем код кнопки и меняем значение в минус . Как ни странно при нажатии кнопки , у жертвы со счета снимаются бонусы . Таким образом можно опустить на бонусы всю Администрацию и пройтись по пользователям .

Для того что бы предотвратить сие злодеяние , в файле present.php добавляем строку проверки —

     if ($amount<10 || $amount>100)
	die("Бонусы в минус ?? Запрещено !)");

Сразу после :

    if ($from == $to)
        die("Вы не можете дарить бонусы себе.");

Вот и все !
Автор находки и багфикса — VictoRD11

Продвинутый профиль пользователя ( by merdox ): 8 комментариев

  1. webnet Автор записи

    он мне написал раньше , просто я не выкладывал его . так как руки не доходят .

  2. abvshka

    проверки нужно делать перед запросом

  3. JustDoit

    webnet, это не решения проблемы я смогу через исходный код поменять айди получателя и отправителя и не себе а другому пользователю отправлю бонусы.

Комментарии запрещены.