Posts by Stefan.J

Laura: PDO kan geen verbinding maken met MySQLi. MySQLi is een database driver(of eigenlijk zelf een API op een driver), en geen database.

PDO kan inderdaad via verschillende drivers communiceren met meerdere databases. Echter, je query's moeten dan wel uitvoerbaar zijn op al deze databases dus het voordeel hiervan is erg relatief.

Persoonlijk vind ik PDO wel een prettigere library voornamelijk vanwege e named prepared statements.

Maar je kunt ook eens een laag hoger kijken naar een ORM layer, bijvoorbeeld Doctrine.

Vrij eenvoudig op te lossen:

SELECT COUNT(*) FROM leden WHERE punten >= (SELECT punten FROM leden WHERE id = '{id}' LIMIT 1)

Hierin zou je op één staan als je punten het hoogste zijn van iederen (stel je attack + defence bepaald hoe hoog je staan moet er (attack + defence) staan), en de {id} moet de identifier van de huidige gebruiker zijn.

Waarschijnlijk is dit custom made, one.com is nogal een grote partij. Sowieso is niet alles gratis te vinden...

Haal de content-type header eens weg. Dan wordt het resultaat gegeven als gewone HTML in je browser en zul je de PHP error die naar het scherm wordt geschreven en de fout veroorzaakt kunnen zien.

Wat wordt hier een hoop onzin verkondigd? [func]str_replace[/func] doet iets heel anders dan [func]ereg_replace[/func]. [func]str_replace[/func] werkt namelijk niet met reguliere expressies!

Normaal is de vervanger van [func]ereg[/func](i) [func]preg_match[/func], en van [func]ereg_replace[/func] [func]preg_replace[/func].

De identifier 21984 komt al voor in de database, je zult dus een andere moeten kiezen.

Ik neem aan dat je bedoeld onder welke steen ik leef? Nja, geen hoor, zeker niet op het gebied van security.

Ik vind het door mij gegeven artikel goed geschreven en het lijkt me een toevoeging voor de TS. Maar het is aan hem om er iets mee te doen of de reactie te beoordelen.

[offtopic]Maar het lijkt me zo wel duidelijk, want dit gaat echt te ver offtopic.[/offtopic]

Citaat

@BrokenTrack Met een bruteforce kan je ook login kraken indien niet goed beveiligt.
Daarom gaf ik het aan dat hetzelfde verhaal is.

Als je php functies als exec op een server mag gebruiken kan je nog veel verder gaan.
Ik ken het verhaal hoef je mij niet te vertellen

Juist... Laten we het er dan maar op houden dat je geen rekening houdt met het niveau van de TS.

@Fils: Prachtig dat je het allemaal zo goed weet, maar wat heeft de topicstarter daar aan?

Als je hier zelf achter wilt komen zul je er verstand van moeten krijgen. Een leuk en leerzaam artikel is de Webprogrammers Hacking Guide:

http://www.twmerge.nl/webprogrammers_hacking_huide.pdf

Hoe heet het programma waar je de cronjobs invoert?

Waarom zou je dit niet in de database oplossen?

http://dev.mysql.com/doc/refma…ons.html#function_adddate

Dat lijkt me heel sterk... Maar het doorsturen naar een andere pagina kan met een Location HTTP header. Met de PHP functie [func]header[/func] kun je die header meesturen:

<?php


header("Location: index.php");


?>

Na, je hoort het, volgens Gamedealertje is het rond de 25 tot 30 euro of meer, of minder dan 20 euro...

Waarom overleg je niet met de opdrachtgever? Als je jezelf een minimum bedenkt en eens vraagt wat hij/zij ervoor over heeft kun je toch wel tot een leuk bedrag komen?

Waar is dat stukje Javascript met die AJAX request goed voor?

Zo, allemaal mooie reacties maar niemand die met een oplossing komt? Het is inderdaad Javascript en geen Java, wat best wel een cruciaal verschil is, maar moet dat vier reacties kosten?

Goed, ik denk, en dat lijkt uitzonderlijk in dit topic, wel de oplossing te weten. Helemaal zeker weten doe ik het echter niet, want de Javascript code is echt een chaos.

Regel 67 van voormulier.htm (Of toch formulier?):

<input type="button" name="buttonName" value="Bestellen" onclick="BestelLijst()">

Hier staat dat de functie BestelLijst in de Javascript code moet worden aangeroepen als er op de button Bestellen wordt gedrukt. De eerste keer gaat dit prima, omdat de globale variabele aantal, bedrag, subtotaal en totaal op 0 zijn gezet bij het openen van de pagina, maar bij een tweede keer worden deze niet terug gezet.

De oplossing is simpel. De variabelen dienen niet globaal te zijn, maar te worden gedeclareerd in de functie BestelLijst.

Ik hoorde ergens vallen dat de fix al in de nieuwste versie zit. Maar dat kun je natuurlijk gewoon proberen!

L.Groot: Nee, dat heeft er niets mee te maken. Het is in principe random, dus je hebt een kans van 1 op de 265 dat het lukt. Je kunt het dus vanaf 100 IP's proberen.

L.Groot: Dan heb ik dus z'n 100 IP-adressen nodig en dan moet het wel lukken. Lijkt me haalbaar?

jopitan: Hier is weinig brute force voor nodig...

@H.Rayn: Klopt, maar hoe local is jou localhost? Is het je eigen laptopje? Nee, maak je dan maar niet druk (doe dat sowieso maar niet op een Windows bak). Maar is jou localhost een webserver die wel van buitenaf benaderbaar is (bijv. poort 80), dan wordt het anders.

Als jij geen PHPMyAdmin hebt draaien waar iedereen bij kan... Maar het probleem oplossen is ook wel een aanrader...