Веб Скрипт промо-кодов

Добрый день! Выкладываю обновленную версию промо-кодов! В чем суть:
Игрок вводит код, и если код правильный, ему начисляются реальные деньги.

Спойлер: Установка

1. Скачиваем архив.
2. Папку engine кидаем в корень сайта.
3. Настраиваем config.php
4. Создаем шаблон, в нем пишем: {include file='engine/modules/promokeys/index.php'}
5. Создаем статическую страницу, в поле шаблон указываем название нашего только что созданного шаблона.
6. Делаем запрос в бд:

Код:

CREATE TABLE promo(
promo CHAR(10) NOT NULL,
price INT(5) NOT NULL
)

7. Промо-коды добавляются в админ центре, который доступен по ссылке http://site.ru/engine/modules/promokeys/admin.php?password=пароль(указывается в конфиге), так же у юзера с ID 1 есть готовая ссылка, находится на странице самой формы.
Ну, вот и все, установка закончена.

Спойлер: Скриншот

Спойлер: TO DO

готово/не готово
1. Добавить админ центр
2. Убрать все косяки в коде
3. Изменить дизайн
4. AJAX
5. Добавить больше функциональности
6. Сделать в качестве модуля(?do=promo)

Скачать можно тут: https://yadi.sk/d/tRLab3lymemxK
Спасибо @Vladlen_198 за помощь =)

 

Зачем повторятся? Нет бы что-то новенькое написать, понимаю что первый скрипт, но всё-же, кому пригодится то, что уже есть, и в лучшем качестве (Не ковнокод)
Как бы сказал Владлен:
Говнокод.
Переходи на mysqli или PDO.
И к чёрту такие удобства:
Для того чтобы создать промо код нужно выполнить в базе данных sql запрос вида:

INSERT INTO promo VALUES ('САМ КОД','НОМИНАЛ КОДА')

 

Кто установит - отпишитесь.
Пойду крушить ваши БД с помощью SQL injection.

@ZONCCK прочитай что такое SQL injection.

 

@ZONCCK, проверку делай...

 

Предисловие. Говнокод ИМХО.
Да сколько можно этих .rar архивов. Я его под linux mint ели распаковал, снова кодировка не UTF-8.
Когда ты это написал ты не подумал что ключа code может не существовать ? А php добротно предоставит логи злоумышленнику.

Спойлер

Зачем так много лишних переменных ? Ассоциативные массивы для чего придумали ?

Спойлер

Спойлер

Зачем делать лишний запрос к бд ? Трудно один раз в phpmyadmin зайти ? И да другие запросы на добавления промо-кода у тебя нужно заходить именно в phpmyadmin.

Спойлер

А вот и шедевры подъехали, я могу дропнуть твою бд. code=';DROP TABLE и т.д.

Спойлер

Что это бл*ть такое ?

PHP:

$db->query('UPDATE dle_users SET '.$col.'='.$col.'+ '.$money.' WHERE name="'.$nick.'"');


Спойлер

Что такое шаблонизатор, ты написал скрипт для DLE, но ты не написал его как модуль... А пошёл самым костыльным решением со статической страницой.

Спойлер

И да в php принято писать языковые конструкции с маленькой буквы, echo,if,else,elseif и т.д.

 

Охохо, не знал, что все так сложно. Ну ладно, пойду читать про эти sql инъекции. Когда все усвою переделаю код. А сейчас я его лучше удалю, от греха подальше.
@Vladlen_198 Сори, я просто еще отсталый в этой теме. Исправлюсь, обещаю

Кодировку нужно всегда ставить utf-8? Почему?

 

Ну так прочти еще и про кодировки современности, наряду с sql.

 

Хорошо =). Как думаешь, на что перейти? На mysqli или pdo?

 

на паскаль

 

Вообще лучше на pdo, ну а так mysqli.

 

Как-то это сложнее, чем устаревший вариант. Или мб мне так кажется, ибо я еще не вник в суть.

 

Люди делятся на два типа.
1. Тем которым важен говнокод или нет.
2. И тем кому неважен говнокод или нет, чисто для себя.
Если выкладываешь что-то в паблик, то говнокода не должно быть.
Я тоже иногда говнокод пишу Но для себя, а не для всех.

 

Хорошо. А если я запрещу кавычки, то пофикшу эти sql инъекции?

 

Только если перестанешь писать свои скрипты тогда и дыр не будет!

 

Ну смотря как ты это сделаешь
А вообще мой тебе совет, подучи php, а потом выйди в свет.
Так на абум колотить скрипты, да ещё и с дырами, как-то тупо.
Пиши скрипты, практикуйся, тестируй сам, и через некоторое время всё будет збс...

 

Я просто не знал о том, что такие инъекции вообще существуют. А друзей-программистов у меня нет. Вот и выложил на руведро с целью, чтобы мне подсказали, что не так и с чем не так.

 

Ну не только кавычки. XSS мб у тебя. В pdo кавычки они сами экранизируются и там удобные конструкции ввида.

PHP:

$db->prepare('UPDATE table SET one=:one, two=:two WHERE user=:login);
$db->execute([
'one' => 'Test',
'two' => 'Lol'
'login' => 'UltraShock'
]);


В итоге pdo сделает тебе вот примерно такой sql если выключена эмуляция запросов. Иначе они уже будут подставлять на самом сервере mysql.

Код:

UPDATE table SET one=:\`Test\`, two=\`Lol\' WHERE user=\`UltraShock\`

А все кавычки он будет автоматический экранизировать.

 

mysql_escape_string('$string') или mysql_real_escape_string('$string'), но 2 работает если коннект к БД уже есть, функции экранируют кавычки и всякую фигню.