Аукцион чаров!

[ExDragon]

ExAuction - Это сайт реализован для MaNGOS (планируется и Trinity Core), в него входят возможности:
- Выставлять своих персонажей на аукцион для обмена.
- Смена ника, пола, (расы, фракции - требуется патч в ядро).
- Смена пароля учётной записи.
- Смена e-mail учётной записи.
- Регистрация новой учётной записи.

Последняя стабильная версия 0.29
Git

Код:

git://github.com/ExDragon/ExAuction.git

[hyperion]

А еще лучше использовать библиотеку для работы с бд, DBSimple как пример. И всю логику реализовать в каком-то классе, написать методы insert, update, detete, findById, в которых будут паметризованные запросы. Потом ты сможешь повторно их использовать, возможно даже в другом проекте.

[ExDragon]

блин на добыло написать I will be back
я сделал ну ка знатоки, скажите свое мнение о безопасности и модульности!
тут должны быть ошибки ведь я изменял структуру базы.. может что то пропустил...
Смотрите первый пост
ах да

Код:

CREATE TABLE `auction` (
  `guid` int(11) unsigned NOT NULL default '0',
  `account` int(11) unsigned default '0',
  `if_class` tinyint(3) unsigned default '0',
  `if_flag` tinyint(3) unsigned default '0',
  `if_level` tinyint(3) unsigned default '0',
  PRIMARY KEY  (`guid`),
  KEY `account` (`account`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

Код:

CREATE TABLE `shop` (
  `key` int(11) unsigned default '0',
  `guid` int(11) unsigned NOT NULL default '0',
  `shop_guid` int(11) unsigned default '0',
  UNIQUE KEY `key` (`key`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

Код:

CREATE TABLE `news` (
  `id_news` int(11) NOT NULL auto_increment,
  `name` tinytext NOT NULL,
  `body` text NOT NULL,
  `hide` enum('show','hide') NOT NULL default 'show',
  PRIMARY KEY  (`id_news`)
) ENGINE=InnoDB AUTO_INCREMENT=23 DEFAULT CHARSET=utf8 AUTO_INCREMENT=23 ;

[Ambal]

ExDragon, пользуйтесь транзакциями для работы с БД дабы целостность данных не пострадала. Для этого вам придется создавать таблицы, использующие InnoDB (ENGINE=InnoDB), а не MyISAM.

[ExDragon]

исправим

[Кот ДаWINчи]

Цитата:

ну ка знатоки, скажите свое мнение о безопасности и модульности!

Подобие модульности появилось. Почему "подобие", да потому что много лишних телодвижений...

Защита от взлома отсутствует напрочь. Я, даже не логинясь, одной хитронаписаной ссылкой смогу запросто стырить персонажа. ГЕТ-ы не проверяются ВООООООООБЩЕ!!!!

http://php.net/manual/en/language.oop5.autoload.php

[ExDragon]

Цитата:

Сообщение от Кот ДаWINчи

Подобие модульности появилось. Почему "подобие", да потому что много лишних телодвижений...

Защита от взлома отсутствует напрочь. Я, даже не логинясь, одной хитронаписаной ссылкой смогу запросто стырить персонажа. ГЕТ-ы не проверяются ВООООООООБЩЕ!!!!

КАК! всё проверяется.. может вы просто увидели сообщение? это модуль простой

[alien]

Думаю тут замешана

Цитата:

$dualq = mysql_query('SELECT * FROM `characters` WHERE `guid` = "'.$_GET['g'].'"');

это строка как минимум.

[Ambal]

напрямую выполнять запросы базы данных и не иметь никакой защиты от SQL-инъекций... однако Пользуйтесь mysql_escape_string(), мануалы в интернете.

[ExDragon]

то есть любые открытые запросы должны защищаться mysql_escape_string().. учту

[Ambal]

Цитата:

Сообщение от ExDragon

то есть любые открытые запросы должны защищаться mysql_escape_string().. учту

http://ru.wikipedia.org/wiki/Внедрение_SQL-кода - почитайте на досуге. Очень хорошие материалы в конце этой темы на Википедии.

[ExDragon]

пс она бы и так не прошла

Код:

if (isset($_GET['g'])){
	if ($auc->ControlGuid_User($_GET['g'])){
		header("Location: http://".$_SERVER['HTTP_HOST']."/".$lk_dir."/?m=message&ge=0");
	}
}

[alien]

Кто вам такое сказал.
Спешу вас расстроить, все прошло бы.
header("Location: http://".$_SERVER['HTTP_HOST']."/".$lk_dir."/?m=message&ge=0") просто изменяет хедер. На основе которого браузер перенеаправляет на стрницу. Но если вручную послать HTTP запрос и получить ответ, то у нас просто будет в ответе стоять редерект. Но весь вывод будет.

[ExDragon]

что
m=message принимает GET и просто выводит сообщение если его заменить то она выведет другое сообщение вот и всё
хм что это я же его вроде менял О_0 возможно это лишние

eregi - This function has been DEPRECATED as of PHP 5.3.0. Relying on this feature is highly discouraged.
mysql_escape_string - This function has been DEPRECATED as of PHP 5.3.0. Relying on this feature is highly discouraged.

выложил для сравнения предложенные варианты валидации email-а
1. ExDragon
2. shamun
3-4 Праведник
$regemail = funcValidEmail(...);
if ($regemail && $regname && ..) достаточная проверка далее по коду.

Код:

<pre>
<?php
function CheckEmail($Email, $Strict = FALSE) {
         if ($Strict === TRUE)  {
            $qtext = '[^\\x0d\\x22\\x5c\\x80-\\xff]';
            $dtext = '[^\\x0d\\x5b-\\x5d\\x80-\\xff]';
            $atom  = '[^\\x00-\\x20\\x22\\x28\\x29\\x2c\\x2e\\x3a-\\x3c\\x3e\\x40\\x5b-\\x5d\\x7f-\\xff]+';
            $pair  = '\\x5c[\\x00-\\x7f]'; 
            $domain_literal = "\\x5b($dtext|$pair)*\\x5d";
            $quoted_string  = "\\x22($qtext|$pair)*\\x22";
            $sub_domain     = "($atom|$domain_literal)";
            $word           = "($atom|$quoted_string)";
            $domain         = "$sub_domain(\\x2e$sub_domain)*";
            $local_part     = "$word(\\x2e$word)*";
 
            $expression     = "/^$local_part\\x40$domain$/D";
         }
         else {
        	$expression = '/^[-_a-z0-9\'+*$^&%=~!?{}]++(?:\.[-_a-z0-9\'+*$^&%=~!?{}]+)*+@(?:(?![-.])[-a-z0-9.]+(?<![-.])\.[a-z]{2,6}|\d{1,3}(?:\.\d{1,3}){3})(?::\d++)?$/iD';
	}
 
        return (bool) preg_match($expression, (string) $Email);
};

$email = 'tadjm-..-ahal@gmail.com';

var_dump(eregi("^[a-zA-Z0-9\._-]+@[a-zA-Z0-9\._-]+\.[a-zA-Z]{2,4}$",$email));
var_dump(preg_match('/^([a-z0-9])(([-a-z0-9._])*([a-z0-9]))*\@([a-z0-9])*(\.([a-z0-9])([-a-z0-9_-])([a-z0-9])+)*$/i',$email));
var_dump(CheckEmail($email,true));
var_dump(filter_var($email, FILTER_VALIDATE_EMAIL));

Код:

int(1)
int(1)
bool(false)
bool(false)

ни и сравнить с {tadjmahal}@gmail.com и tadjmahal@gmail.travel

скачайте DBSimple...там и транзакции есть и "правильное" закавычивание, ну или mysql_real_escape_string используйте

[ExDragon]

FILTER_VALIDATE_EMAIL тоже показывает хороший результат, может его использовать? я понимаю это макрос.. его нужно писать или он есть в PHP

Цитата:

Сообщение от ExDragon

FILTER_VALIDATE_EMAIL тоже показывает хороший результат, может его использовать? я понимаю это макрос.. его нужно писать или он есть в PHP

это константа...
http://php.net/manual/en/filter.filters.validate.php

[alien]

Я про то что если вы написали header("Location: любой адрес.")
То это не значит что выполнение скрипта прервется.
Вы не увидете результат вывода который произойдет в браузере но он точно также выводится.

[ExDragon]

Цитата:

Сообщение от alien

Я про то что если вы написали header("Location: любой адрес.")
То это не значит что выполнение скрипта прервется.
Вы не увидете результат вывода который произойдет в браузере но он точно также выводится.

так он и не нужен.. там же GET это модуль и всё, всё работает... или я что то не понимаю
пс скоро выложу новую версию с исправленными ошибками и я избавился от GET (кроме сообщений)

Подскажите как сделать проверку на - введенный акк состоит из A-Z a-z 0-9 это типа eregi... тока я не пойму как их делать О_0

[Кот ДаWINчи]

Цитата:

Сообщение от ExDragon

Подскажите как сделать проверку на - введенный акк состоит из A-Z a-z 0-9 это типа eregi... тока я не пойму как их делать О_0

http://www.php.su/functions/?preg-match

[Lordronn]

Цитата:

Подскажите как сделать проверку на - введенный акк состоит из A-Z a-z 0-9 это типа eregi... тока я не пойму как их делать О_0

Регулярное выражение используй

уже ж выше писал...
НЕ НАДО использовать eregi
preg_match('/^[0-9a-z]+$/i',$string)

ps так коллективом и сделаем

[tempura]

Цитата:

Сообщение от Minimajack

уже ж выше писал...
НЕ НАДО использовать eregi

вот зря написал, зря! обновился бы РНР, отрубили бы функцию, сам бы все понял, и сел переписывать.

Цитата:

Сообщение от Minimajack

ps так коллективом и сделаем

И заметьте, автор будет стоять только один - остальных добро если хотя бы в "спасибы" запишут. А по уму - наоборот бы. Что-то типа "автор: форум ру-мангос, ну и спасиба ExDragon за смутные намеки".

[alien]

Цитата:

Сообщение от ExDragon

так он и не нужен.. там же GET это модуль и всё, всё работает... или я что то не понимаю
пс скоро выложу новую версию с исправленными ошибками и я избавился от GET (кроме сообщений)

Еще раз все по порядку.
Клиент запрашивает модуль auction и сабмодуль selchar дальше я передаю гетом переменную $_GET['g'].
Что происходит в коде.
инклудится require 'includes/auth.php';
В котором есть некая проверка

Код:

if (isset($_GET['g'])){
	if ($auc->ControlGuid_User($_GET['g'])){
		header("Location: http://".$_SERVER['HTTP_HOST']."/".$lk_dir."/?m=message&ge=0");
	}
}

.....
ой пардон когда начал разбирать не совсем понял. Вообщем этот код не препятствует SQL-inj так-что если правильно передать $_GET['g'] то можно получить любые данный из базы.

[Ambal]

Цитата:

Сообщение от alien

если правильно передать $_GET['g'] то можно получить любые данный из базы.

...либо удалить все нах... если поддерживаются multiple statements

[ExDragon]

ща сделаю регистрацию.. и покажу я убрал это вообще...

Код:

			$q_acc = mysql_query('SELECT `username` FROM `account` WHERE `username` = "'.mysql_real_escape_string($_POST['regname']).'"');
			if (!$acc = mysql_fetch_assoc($q_acc)){
				$Tneme = true;
			} else {
		       $Tneme = false;
		    }

хм вот это мне не нравится... как проверить не занят ли акк?

0.2.2 beta
Смотрите первый пост
уже лучше

Код:

	if (iconv_strlen($_POST['regpass1']) >= 6){
		if ($_POST['regpass1'] == $_POST['regpass2']){
			$Tpass = true;
		} else {
			$Tpass = false;
			$rp = 1;
		}
	} else {
		$Tpass = false;
		$rp = 2;
	}

Код:

	if ($_GET['rp'] == 1){
		echo '<div class="error">Пароли не совпадают</div>';
	} elseif ($_GET['rp'] == 2) {
		echo '<div class="error">Пароль должен состоять минимум из 6 символов</div>';
	}

уже будет 0.2.3

[ExDragon]

пс модераторы, можно ли переименовать тему, это уже проект однако

[Ambal]

Переименуем сразу как вас перестанут поучать в каждом посте

[ExDragon]

Ну я сделал вторую версию... мне нужно знать где ошибки.. какие нибудь
так вроде всё работает и всё вроде безопасно..

Следующим шагом будет страница правки данных (пароль, маил)
mail()
Модуль "Новости"
И дальше уже нужно тестировать на сервере... но это потом

[ExDragon]

ну вот 0.2.3..
mail() следующий шаг

[Sid]

sql.sql

Цитата:

) ENGINE=InnoDB AUTO_INCREMENT=23 DEFAULT CHARSET=utf8 AUTO_INCREMENT=23 ;

[ExDragon]

я если честно не очень понимаю значение этих строк.. я просто скопировал их... а что не так?

Цитата:

Сообщение от ExDragon

я если честно не очень понимаю значение этих строк.. я просто скопировал их... а что не так?

счетчик начнется не с 0, а с 23..как бы не корректно.

Код:

if(!$cont = @mysql_connect($db_ip, $db_user, $db_pw)) die( mysql_error());

[ExDragon]

0.2.4! исправил серьёзный баг с регистрацией/авторизацией/смены пароля
убрал AUTO_INCREMENT..

[ExDragon]

Код:

CREATE TABLE `auction` (
  `guid` int(11) unsigned NOT NULL default '0',
  `account` int(11) unsigned default '0',
  `if_class` tinyint(3) unsigned default '0',
  `if_flag` tinyint(3) unsigned default '0',
  `if_level` tinyint(3) unsigned default '0',
  PRIMARY KEY  (`guid`),
  KEY `account` (`account`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;
CREATE TABLE `shop` (
  `key` int(11) unsigned default '0',
  `guid` int(11) unsigned NOT NULL default '0',
  `shop_guid` int(11) unsigned default '0',
  UNIQUE KEY `key` (`key`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;
CREATE TABLE `news` (
  `id_news` int(11) unsigned NOT NULL default '0',
  `author` varchar(32) default NULL,
  `name` tinytext NOT NULL,
  `min` text NOT NULL
  `full` text NOT NULL
  `date` timestamp NOT NULL default '0000-00-00 00:00:00',
  `hide` enum('show','hide') default 'show',
  PRIMARY KEY  (`id_news`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

[Кот ДаWINчи]

Цитата:

Сообщение от ExDragon

0.2.4! исправил серьёзный баг с регистрацией/авторизацией/смены пароля
убрал AUTO_INCREMENT..

Заведи репозиторий. хотя бы на SVN....

[alien]

Цитата:

$dualq = mysql_query('SELECT * FROM `characters` WHERE `guid` = "'.$_POST['shop_guid'].'"');

И где тут фикс SQL-inj?

[ExDragon]

проблема с базой.. а точней с индексами..

Код:

CREATE TABLE `news` (
  `id_news` int(11) unsigned NOT NULL default '0',
  `author` varchar(32) default NULL,
  `name` tinytext NOT NULL,
  `min` text NOT NULL
  `full` text NOT NULL
  `date` timestamp NOT NULL default '0000-00-00 00:00:00',
  `hide` enum('show','hide') default 'show',
  PRIMARY KEY  (`id_news`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

пс phpMyAdmin не поддерживает InnoDB..
Проблема состоит в том что каждая новая новость начинается с нуля

Код:

`id_news` int(11) unsigned NOT NULL default '0'
PRIMARY KEY  (`id_news`)

AUTO_INCREMENT я понимаю тут замешана

[virusav]

Попробуй так:

Код:

`id` int(11) unsigned NOT NULL AUTO_INCREMENT

[Sid]

Так ты убрал автоинкремент) я просто показал на то что он у тебя с 23 начинался)) зачем его убирать надо было? Поставил бы с 1 и все.