Вы не зашли.
#21.
One20
Off
(-1)
Участник
2007.12.12 12:12
Admin Я как понимаю нужно ище и новые строки вписать в index.php ,enter.php ,room.php думаю етого было бы достаточно?!
Добавлено спустя 6 минут 31 секунду: А как мне ввывести онлайн чата в которого ci=1 на главную страницу моего сайта? Што инклудить файл ini.php и в главной вписать переменые?
#22.
Admin
Off
(-1)
Administrator
2007.12.12 12:12
Код:
include 'inc.php'; |
$pdc = mysql_fetch_assoc(mysql_query('SELECT COUNT(*) FROM `'.$px.$utable.'` WHERE ltime>'.(time()-(int)$offline).' AND `ci`='$ci)); |
вот такой код тебе надо
в переменной
$pdc['COUNT(*)']; будет кол-во пользователей в онлайне.
чтобы считаь кол-во хостов/хитов думаю достаточно будет дописать файлы enter.php и room.php
могу даже привести примерно что писать надо будет, допустим, ты добавишь в таблицу
cusers еще поле
hit в котором будут считаться хиты, в таком случае пишем так
Код:
mysql_query('UPDATE `'.$px.$utable.'` SET `hit`=`hit`+1 WHERE `ci`='.$ci); |
сердце пронзенное ветром
#23.
One20
Off
(-1)
Участник
2007.12.12 17:05
mysql_query('UPDATE `'.$px.$utable.'` SET `hit`=`hit`+1 WHERE `ci`='.$ci); Куда именно нужно вставить етот код и как?
Отредактировано One20 (2007.12.12 17:05)
#24.
Admin
Off
(-1)
Administrator
2007.12.12 19:07
в enter.php просто вставь и все. после if($login){ например. я тут еще посмотрел. дыры есть и очень серезные.
Код:
mysql_query("update `".$px.$utable."` set `soft`='".htmlspecialchars(getenv(HTTP_USER_AGENT))."' where `id`='".$id."' and ci= '".$ci."';"); |
попробуй сам найди здесь уязвимость
сердце пронзенное ветром
#25.
One20
Off
(-1)
Участник
2007.12.13 02:02
Admin,я не разбераюсь хорошо в етом но думаю што ошыбки здесь
mysql_query("update `".$px.$utable."` set `soft`=
'".htmlspecialchars(getenv(HTTP_USER_AGENT))."' where `id`='".$id."' and ci= '".$ci."';");
Отредактировано One20 (2007.12.13 02:02)
#26.
One20
Off
(-1)
Участник
2007.12.13 03:03
Не нужно вставлять етот код в ети скобки '".htmlspecial."' ето же не переменая! Я верно мыслю?
Отредактировано One20 (2007.12.13 03:03)
#27.
Admin
Off
(-1)
Administrator
2007.12.13 06:06
не, не в этом дело.
http://wapinet.ru/textbook/sql_injection.htm посмотри здесь
как минимум нужно так
Код:
mysql_query('UPDATE `'.$px.$utable.'` SET `soft`=\''.mysql_escape_string(htmlspecialchars(getenv(HTTP_USER_AGENT))).'\' WHERE `id`='.$id.' AND `ci`= '.$ci); |
переменные
id и
ci фильтруются через intval в inc.php
сердце пронзенное ветром
#28.
Admin
Off
(-1)
Administrator
2007.12.13 19:07
Опа, извиняюсь. В первый раз на это не указал, потому что смотрел .htaccess а в этом посте впопехах писал. забыл что в .htaccess включены magic_quotes_gps
У самого проблемы с одним, думаю многим известным, хакером
надеюсь эти проблемы в прошлом гг
Вобщем тупо подстановкой кавычки не сломаешь, так что скрипткиддисы так называемые отпадают.
А в целом, надо все же отключать в .htaccess все "магические кавычки", в php6 например их вообще уберут. так же как и глобальные переменные, и еще регулярные выражения в стиле POSIX (ereg и его друзья). Так что переход на PHP6 обещает стать очень болезненным действом
Хотя и очень нужным.
сердце пронзенное ветром
#29.
One20
Off
(-1)
Участник
2007.12.19 00:12
Нашол ошыбки! Когда читаеш личные сообщения то ненаписано от кого отправлено это сообщение! В ссылке (кто где?) в низу страницы не написано сколько человек у прихожей! Сможеш исправить?
Отредактировано One20 (2007.12.19 00:12)
Я кстати про mаgiс quotes не согласен, ими удобней пользоваться чем mysql_escape_string и addslashes