Выставляем любого юзера на продажу.
Выставляем любого юзера на продажу.
Дыра,о которой мне намекнул в комментах админ сайта http://pisupis81.narod2.ru.Сайт критиковать не буду,но дыра интересная.
Итак.Идём в список рефералов.Открываем исходник ищем код:

<form action="" method=post>
  <input type="hidden" value="65" name="id">
  <input type="text" value="0.00" name="price" size=15>
  <input type="hidden" value="sell" name="action">
  <input type="submit" value="Выставить на продажу">
  </form>

Здесь число 65- ID вашего реферала.Меняем на ID от фонаря и сохраняем - затем жмём в той строке,где мнеяли исходник,кнопку выставить на продажу и радуемся.юзер с введённым от фонаря ID выставлен на бирже.Однако при его покупке деньги будут идти не вам,а его рефереру.Но не каждому рефоводу понравится,что его может и активные рефералы продаются за копейки.

Теперь правим.Открываем referals.php и ищем строку:

$id=intval($_POST["id"]);

После добавим:

require('config.php');
$res=mysql_fetch_array(mysql_query("SELECT referer FROM tb_users WHERE id='$id'"));
$referer=$res["referer"];
$nameus=$_SESSION["username"];
if($nameus!=$referer)
{
echo "<center><font color=red><b><img src=images/error.png> Пользователь № $id не является Вашим рефералом!</b></font></center>";
include('footer.php');
exit();
}

Всё.


Рубрика: Бесплатное » Дыры, ошибки   |   Автор: Alex   |   Просмотры: 4111
Комментариев: 63
Публикаций: 10
ICQ: --
- 3 +
  Автор: Hitman   |   Группа: Пользователи   |   Дата: 25 апреля 2012  
Кто не будь проверял?
Информация

Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.