Синхронизация с другим сайтом

GLookin · 21 Май 2015

Ребят, нашел некий сайт.
Суть его в том, что вы опубликовываете на нем вашу ферму и синхронизируете её с голосованием на этом сайте. То есть, если пользователь фермы пройдет по специальной ссылке, проголосует за вашу ферму "пятеркой" - ему на баланс игры зачисляется серебро. Этот сайт дает специальный скрипт для этого. Я его сегодня весь день изучаю. Есть там дыра, чтобы отправить, с помощью этого незатейливого способа какую-нибудь пакость в бд, кроме того, что он добавлять должен серебро юзеру.

PHP:

<?php
// Hyipvote.Ru
// Данный пример разработан для начисление поощрительного бонуса за оценку вашего проекта на Hyipvote.ru
// Для начала вам нужно положить этот скрипт в корень сайта
// Далее создать в базе mysql новое поле в таблице db_users_b где будет учитыватся время голосования ваших юзеров, пример ниже
// ALTER TABLE db_users_b ADD `hyipvote` date NOT NULL default '0000-00-00';
// В ссылку на голосование добавить ID вашего юзера, пример (http://hyipvote.ru/vysokodohodnyj-hyip/test.html?userid=xxx) где userid ID вашего юзера вашем нашем сайте
// Насчет ддос атак на наш сайт вашему сайту это не грозит, сначала идет проверка унас, если все данные сходятся поссылает пост данные на ваш проект
// Если будут какие проблемы с данным скриптом, пишите в форму контакта http://hyipvote.ru/contact.html

//=================================================================================================
// Для вывода ID пользователя для "Fruit Farm" надо в файле index.php
// вставить $content = str_replace('{!USER_ID!}', $user_id ,$content);
// после $content = str_replace('{!BALANCE_B!}', sprintf("%.2f", $balance["money_b"]) ,$content);
// После чего использовать при выводе id строку {!USER_ID!} например: http://hyipvote.ru/vysokodohodnyj-hyip/test.html?userid={!USER_ID!}
//=================================================================================================

// Дополнительная проверка по уникальному ключу, генерируем ключ в админке и вставляем в кавычки
if($_POST["key"] != "2e398f79c091d68aadb8ab9e7d")
die();

// Возногражение в money
$money = 1000;

// Проверяем на сущестование пост данных
if(isset($_POST['userid']) && isset($_POST["ip"]) && isset($_POST['ratio']) && isset($_POST['key'])) {

$ratio = intval($_POST["ratio"]);
$ip = stripslashes(htmlspecialchars($_POST["ip"]));
$userid = intval($_POST["userid"]);
$date = date('Y-m-d');
// Если оценка за ваш проект 5 начисляем бонус пользователю, меняется по вашему усмотрению
if($ratio == '5') {
//////Тут вписать данные от базы данных проекта. Можно также использовать инклюд на файл конфига
$mysql_host = 'localhost'; //Хост
$mysql_user = '***'; //Пользователь базы
$mysql_pass = '***'; //Пароль базы
$mysql_db = '***'; //Имя базы

// конект к базе
if(!@mysql_connect($mysql_host, $mysql_user, $mysql_pass))
    die();

mysql_select_db($mysql_db) or die();

// В моем примере начисляется бонус money, проверка идет по ID и IP юзера
// Вы можете легко сменить бонус на что вам угодоно
mysql_query("UPDATE db_users_b SET money_b = money_b + '".$money."', hyipvote = '".$date."' WHERE id = '".$userid."'") or die(mysql_error());
}
}

exit();

?>

BURS · 21 Май 2015

тк надо без дырок )

GLookin · 21 Май 2015

BURS написал(а):
тк надо без дырок )

Я весь день его ковыряю сегодня) вроде норм, но то, что туда нужно вписывать инфо о бд, как то сыковато))

BURS · 21 Май 2015

GLookin написал(а):
Я весь день его ковыряю сегодня) вроде норм, но то, что туда нужно вписывать инфо о бд, как то сыковато))

левую ферму пробей .выясним Г или норм)

GLookin · 21 Май 2015

Ключ генерируется индивидуальный, для каждого сайта, при регистрации последнего на сайте этого рейтинга.
По сути, через $_POST можно отправить, что угодно и напихать разных инъекций в базу данных..
Вот только, на сколько это возможно через этот код. Вот в чем вопрос.

GLookin · 22 Май 2015

BURS написал(а):
левую ферму пробей .выясним Г или норм)

Просто, уже есть, как минимум 15 активных ферм, кто синхронизировался с этим сайтом.
Пользователь проходит по специальной ссылке на ферме, голосует за ферму на этом сайте и получает бонусное серебро на ферме, за которую голосовал. Задумка интересная, бесспорно, но на сколько безопасно ставить этот скрипт к себе на ферму - вот вопрос.

makc · 22 Май 2015

Видел его, только я так и не понял как данные попадают в бд, так как после голосования пользователь никуда не перенаправляется, спрашивал в поддержке можно ли после голосования направить на нужную мне страницу в ответ пришло пустое письмо, сделай проще: нахрен не подключай бд, а просто начисляй бонус и ссылку на голосование...

GLookin · 22 Май 2015

makc написал(а):
Видел его, только я так и не понял как данные попадают в бд, так как после голосования пользователь никуда не перенаправляется, спрашивал в поддержке можно ли после голосования направить на нужную мне страницу в ответ пришло пустое письмо, сделай проще: нахрен не подключай бд, а просто начисляй бонус и ссылку на голосование...

Я думаю, данные попадают в бд, судя по всему обратным условием со стороны сайта. Ведь, получается, ему известен адрес сайта.
Может быть, потому что скрипт должен лежать в корне сайта, через него и идет поток данных
(isset($_POST['userid']) && isset($_POST["ip"]) && isset($_POST['ratio']) && isset($_POST['key'])).

То есть, проголосовав на 5, идет отклик от сайта в сторону фермы (скрипт, отталкивающийся от $ratio)

himik · 22 Май 2015

Какой то умный чел придумал как нашими же руками на наши фермы дыру воткнуть и слить бабло в определенный момент :devil:

BURS · 22 Май 2015

himik написал(а):
Какой то умный чел придумал как нашими же руками на наши фермы дыру воткнуть и слить бабло в определенный момент

есть такое )).чувак гений раз такое придумал .