Update auszahlen.php

-secured PDO queries with bindParam

Update auszahlen.php
-secured PDO queries with bindParam
ecd3efbe · Henoch Einbier · 9e5caba2 · ecd3efbe
Commit ecd3efbe authored 5 years ago by Henoch Einbier
--- a/content/konto/auszahlen.php
+++ b/content/konto/auszahlen.php
@@ -9,25 +9,34 @@ if(!isset($auszahlmeldung))         $auszahlmeldung = "";

 $tag = strtotime("".date("m")."/".date("d")."/".date("Y")." 0 hours 0 minutes 0 seconds");

-$sql = sql::$db->query("SELECT t1.*, t2.* FROM "._VMS_."_multi_konten t2
+$sql = sql::$db->prepare("SELECT t1.*, t2.* FROM "._VMS_."_multi_konten t2
 								LEFT JOIN "._VMS_."_schnittstelle t1 ON t1.schnittstelle=t2.waehrung
-								WHERE t2.uid=".$_SESSION['uid']." AND t1.aktiv >=2 ");
+								WHERE t2.uid=:uid AND t1.aktiv >=2 ");
+$sql -> bindParam(':uid', $_SESSION['uid'], PDO::PARAM_INT);
+$sql -> execute();

 while($_temp = $sql->fetchAll() ){
    $schnittstellen[] = $_temp;
    $erlaubte_schnittstellen[] = $_temp['schnittstelle'];
 }

-$sql = sql::$db->query("SELECT `kontostand` FROM "._VMS_."_kontodaten WHERE uid=".$_SESSION['uid']." LIMIT 1");
+$sql = sql::$db->prepare("SELECT `kontostand` FROM "._VMS_."_kontodaten WHERE uid=:session_uid LIMIT 1");
+$sql -> bindParam(':session_uid', $_SESSION['uid'], PDO::PARAM_INT);
+$sql -> execute();
 $kontodaten = $sql->fetch();

 if(isset($_POST['waehrung']) && $_POST['auszahlen'] == 'Auszahlen' && $_POST['uid_passwort'] && $_POST['trans_menge'] && in_array($_POST['waehrung'], $erlaubte_schnittstellen)){
-    $schnittstelle_f = sql::$db->query("SELECT * FROM "._VMS_."_schnittstelle WHERE aktiv >=2 AND schnittstelle='".$_POST['waehrung']."' LIMIT 1");
+    $schnittstelle_f = sql::$db->prepare("SELECT * FROM "._VMS_."_schnittstelle WHERE aktiv >=2 AND schnittstelle=:waehrung LIMIT 1");
+    $schnittstelle_f -> bindParam(':waehrung', $_POST['waehrung'], PDO::PARAM_STR);
+    $schnittstelle_f -> execute();
    if($schnittstelle_f->rowCount() == 1){
        $schnittstelle = $schnittstelle_f->fetch();

        if($schnittstelle['anfragen_user'] != 0){
-            $sql = sql::$db->query("SELECT * FROM "._VMS_."_schnittstelle_anfragen WHERE uid='".$_SESSION['uid']."' AND zeit='".$tag."'");
+            $sql = sql::$db->prepare("SELECT * FROM "._VMS_."_schnittstelle_anfragen WHERE uid=:session_uid AND zeit=:tag");
+            $sql -> bindParam(':session_uid', $_SESSION['uid'], PDO::PARAM_INT);
+            $sql -> bindParam(':tag', $tag, PDO::PARAM_INT);
+            $sql -> execute();
            $s_verbrauch = $sql->rowCount();
        }else $s_verbrauch = 0;

@@ -36,7 +45,10 @@ if(isset($_POST['waehrung']) && $_POST['auszahlen'] == 'Auszahlen' && $_POST['ui
            $_POST['trans_menge'] /= $schnittstelle['punktewert'];
            if($_POST['trans_menge'] <= $kontodaten['kontostand']){
                if($schnittstelle['anfragen_user'] == 0 or $s_verbrauch <= $schnittstelle['anfragen_user']){
-                    $sql = sql::$db->query("SELECT kontoid FROM "._VMS_."_multi_konten WHERE uid=".$_SESSION['uid']." AND waehrung='".$_POST['waehrung']."' LIMIT 1");
+                    $sql = sql::$db->prepare("SELECT kontoid FROM "._VMS_."_multi_konten WHERE uid=:session_uid AND waehrung=:waehrung LIMIT 1");
+                    $sql -> bindParam(':session_uid', $_SESSION['uid'], PDO::PARAM_INT);
+                    $sql -> bindParam(':waehrung', $_POST['waehrung'], PDO::PARAM_STR);
+                    $sql -> execute();
                    $konto = $sql->fetchAll();
                    $buchungs_id = create_code(14);
                    if($konto['kontoid'] != 0){
@@ -83,13 +95,18 @@ if ($c == 0) {echo '<center>Keine Konten gefunden. Bitte schalte in deinem Userp
 foot();

 if(isset($_POST['waehrung']) && in_array($_POST['waehrung'], $erlaubte_schnittstellen)){
-    $sql = sql::$db->query("SELECT * FROM "._VMS_."_schnittstelle WHERE aktiv >= 2 AND schnittstelle='".$_POST['waehrung']."' LIMIT 1 ");
+    $sql = sql::$db->prepare("SELECT * FROM "._VMS_."_schnittstelle WHERE aktiv >= 2 AND schnittstelle=:waehrung LIMIT 1 ");
+    $sql -> bindParam(':waehrung', $_POST['waehrung'], PDO::PARAM_STR);
+    $sql -> execute();
    $schnittstelle = $sql->fetch();
    head("Auszahlen"); ?>
        <form action="" method="post">
            <input type="hidden" name="waehrung" value="<?php echo $_POST['waehrung']; ?>">
            <?php
-            $multi_kontoida = sql::$db->query("SELECT kontoid FROM "._VMS_."_multi_konten WHERE uid=".$_SESSION['uid']." AND waehrung='".$_POST['waehrung']."' LIMIT 1");
+            $multi_kontoida = sql::$db->prepare("SELECT kontoid FROM "._VMS_."_multi_konten WHERE uid=:session_uid AND waehrung=:waehrung LIMIT 1");
+            $multi_kontoida -> bindParam(':session_uid', $_SESSION['uid'], PDO::PARAM_INT);
+            $multi_kontoida -> bindParam(':waehrung', $_POST['waehrung'], PDO::PARAM_STR);
+            $multi_kontoida -> execute();
            if($multi_kontoida->rowCount() == 0){
                echo 'Bitte lege im Userprofil deine Konto-ID fest.';
            }else{