anpera.net

[php]case "spendgold":
addnav("Zurück zur Gilde","gilden.php?op=drin&ID=".urlencode($row['gildenid'])."&name=".urlencode($row['gildenname'])."");
if ($row['gildenschatzkammer']==1)
$goldlager = 400000;
if ($row['gildenschatzkammer']==2)
$goldlager = 1000000;
if ($row['gildenschatzkammer']==3)
$goldlager = 2000000;
$platzuebrig = $goldlager-$row['gildengold'];
if ($_GET['act']=="")
{
output("In der Schatzkammer gibt es Platz für `^".$platzuebrig." Gold`&.");
output("<form action='gilden.php?op=drin&gilde=spendgold&act=spend' method='post'><input name='spend' lengt='10' maxlenght='10'><input type='submit' value='Spenden'></form>",true);
addnav("","gilden.php?op=drin&gilde=spendgold&act=spend");
}
if ($_GET['act']!="")
{
$spendgold = $_POST['spend'];
db_query ("UPDATE gilden SET gildengold='".$spendgold."' WHERE gildenid='".$_GET['ID']."'");
$session['user']['gildengold'] += $spendgold;
$sessoin['user']['gold'] -= $spendgold;d;
output("Du hast `^".$_POST['spend']." Gold`& gespendet");
}
break;
case "spendgems":
addnav("Zurück zur Gilde","gilden.php?op=drin&ID=".urlencode($row['gildenid'])."&name=".urlencode($row['gildenname'])."");
if ($row['gildenschatzkammer']==1)
$gemslager = 400;
if ($row['gildenschatzkammer']==2)
$gemslager = 1000;
if ($row['gildenschatzkammer']==3)
$gemslager = 2000;
$platzuebrig = $gemslager-$row['gildengems'];
if ($_GET['act']=="")
{
output("In der Schatzkammer gibt es Platz für `%".$platzuebrig." Edelsteine`&.");
output("<form action='gilden.php?op=drin&gilde=spendgems&act=spend' method='post'><input name='spend' lengt='10' maxlenght='10'><input type='submit' value='Spenden'></form>",true);
addnav("","gilden.php?op=drin&gilde=spendgems&act=spend");
}
if ($_GET['act']!="")
{
$gemsgold = $_POST['spend'];
db_query ("UPDATE gilden SET gildengems='".gemsgold."' WHERE gildenid='".$_GET['ID']."'");
$session['user']['gildengems'] += $gemsgold;
$sessoin['user']['gems'] -= $gemsgold;
output("Du hast `%".$_POST['spend']." Edelsteine`& gespendet");
}
break;[/php]

Man spende Gold oder Edelsteine. Ein Fehler kommt nicht, nach dem Spendenbestätigen kommt, dass man so und soviel gespendet hat, aber es wird nicht geupdatet


EDIT: $_GET['ID'] wird richtig festgelegt

EDIT: Die Spenden werden nich einmal von den eigenen Daten abgezogen

Keine Ahnung, was in $gilden['id'] drin steht, aber wenn für &ID= ein urlencode nötig ist, dann sollte $_GET['ID'] auch ein urldecode bekommen dürfen.

Außerdem sind in der Zeile
$sessoin['user']['gold'] -= $spendgold;d;
zwei kleine Fehlerchen enthalten. Einer davon auch in der Zeile
$sessoin['user']['gems'] -= $gemsgold;

Und sollte es statt
...UPDATE gilden SET gildengold='".$spendgold."'...
nicht besser
...UPDATE gilden SET gildengold=gildengold+{$spendgold}...

und statt
...UPDATE gilden SET gildengems='".gemsgold."'...
besser
...UPDATE gilden SET gildengems=gildengems+{$gemsgold}...
heißen?

Hmm, und eine Sicherheitsabfrage auf eingegebene negative Werte oder ungültige Eingaben sollte auch irgendwo vorhanden sein.

_________________
Praxis ist, wenn alles klappt aber keiner weiß warum. Theorie ist, wenn man weiß wie es geht, aber nichts klappt. Wir haben beides erfolgreich vereinigt: Bei uns klappt nichts und keiner weiß warum!

Neues Video: Marios freier Tag in Second Life

Neeeeeeeeeeeeein!
$gemsgold und $spendgold kommt direkt aus den POST-Daten und ist ungeprüft! Daher nur so:
...UPDATE gilden SET gildengold=gildengold+'{$spendgold}'...
...UPDATE gilden SET gildengems=gildengems+'{$gemsgold}'...
Ansonsten bekommen böse User quasi Vollzugriff auf die Datenbank (z.B. sollte es dann genügen, im Gold-Eingabefeld, das ja zu $spendgold wird, einzugeben: 0;delete from accounts;#).

_________________
A bus station is where busses stop. A train station is where trains stop. On my desk there is a workstation...

Darum hab ich doch das mit der Abfrage auf negative Werte (womit ein ebensolcher böser User die Gildenkasse mit negativen Spenden theoretisch bis weit ins Negative plündern kann - ob nun mit ' oder ohne) und auf ungültige Eingaben empfohlen

Das mit den Abfragen ob Wert negativ oder Positiv is, sollte noch kommen

Zuerst wollte ich versuchen, ob das überhaupt geht, und dem war nicht der Fall

Na ja, Danke an alle