Skip to content
Snippets Groups Projects
Commit ecd3efbe authored by Henoch Einbier's avatar Henoch Einbier
Browse files

Update auszahlen.php

-secured PDO queries with bindParam
parent 9e5caba2
2 merge requests!46Release 3.0,!20Update auszahlen.php
......@@ -9,25 +9,34 @@ if(!isset($auszahlmeldung)) $auszahlmeldung = "";
$tag = strtotime("".date("m")."/".date("d")."/".date("Y")." 0 hours 0 minutes 0 seconds");
$sql = sql::$db->query("SELECT t1.*, t2.* FROM "._VMS_."_multi_konten t2
$sql = sql::$db->prepare("SELECT t1.*, t2.* FROM "._VMS_."_multi_konten t2
LEFT JOIN "._VMS_."_schnittstelle t1 ON t1.schnittstelle=t2.waehrung
WHERE t2.uid=".$_SESSION['uid']." AND t1.aktiv >=2 ");
WHERE t2.uid=:uid AND t1.aktiv >=2 ");
$sql -> bindParam(':uid', $_SESSION['uid'], PDO::PARAM_INT);
$sql -> execute();
while($_temp = $sql->fetchAll() ){
$schnittstellen[] = $_temp;
$erlaubte_schnittstellen[] = $_temp['schnittstelle'];
}
$sql = sql::$db->query("SELECT `kontostand` FROM "._VMS_."_kontodaten WHERE uid=".$_SESSION['uid']." LIMIT 1");
$sql = sql::$db->prepare("SELECT `kontostand` FROM "._VMS_."_kontodaten WHERE uid=:session_uid LIMIT 1");
$sql -> bindParam(':session_uid', $_SESSION['uid'], PDO::PARAM_INT);
$sql -> execute();
$kontodaten = $sql->fetch();
if(isset($_POST['waehrung']) && $_POST['auszahlen'] == 'Auszahlen' && $_POST['uid_passwort'] && $_POST['trans_menge'] && in_array($_POST['waehrung'], $erlaubte_schnittstellen)){
$schnittstelle_f = sql::$db->query("SELECT * FROM "._VMS_."_schnittstelle WHERE aktiv >=2 AND schnittstelle='".$_POST['waehrung']."' LIMIT 1");
$schnittstelle_f = sql::$db->prepare("SELECT * FROM "._VMS_."_schnittstelle WHERE aktiv >=2 AND schnittstelle=:waehrung LIMIT 1");
$schnittstelle_f -> bindParam(':waehrung', $_POST['waehrung'], PDO::PARAM_STR);
$schnittstelle_f -> execute();
if($schnittstelle_f->rowCount() == 1){
$schnittstelle = $schnittstelle_f->fetch();
if($schnittstelle['anfragen_user'] != 0){
$sql = sql::$db->query("SELECT * FROM "._VMS_."_schnittstelle_anfragen WHERE uid='".$_SESSION['uid']."' AND zeit='".$tag."'");
$sql = sql::$db->prepare("SELECT * FROM "._VMS_."_schnittstelle_anfragen WHERE uid=:session_uid AND zeit=:tag");
$sql -> bindParam(':session_uid', $_SESSION['uid'], PDO::PARAM_INT);
$sql -> bindParam(':tag', $tag, PDO::PARAM_INT);
$sql -> execute();
$s_verbrauch = $sql->rowCount();
}else $s_verbrauch = 0;
......@@ -36,7 +45,10 @@ if(isset($_POST['waehrung']) && $_POST['auszahlen'] == 'Auszahlen' && $_POST['ui
$_POST['trans_menge'] /= $schnittstelle['punktewert'];
if($_POST['trans_menge'] <= $kontodaten['kontostand']){
if($schnittstelle['anfragen_user'] == 0 or $s_verbrauch <= $schnittstelle['anfragen_user']){
$sql = sql::$db->query("SELECT kontoid FROM "._VMS_."_multi_konten WHERE uid=".$_SESSION['uid']." AND waehrung='".$_POST['waehrung']."' LIMIT 1");
$sql = sql::$db->prepare("SELECT kontoid FROM "._VMS_."_multi_konten WHERE uid=:session_uid AND waehrung=:waehrung LIMIT 1");
$sql -> bindParam(':session_uid', $_SESSION['uid'], PDO::PARAM_INT);
$sql -> bindParam(':waehrung', $_POST['waehrung'], PDO::PARAM_STR);
$sql -> execute();
$konto = $sql->fetchAll();
$buchungs_id = create_code(14);
if($konto['kontoid'] != 0){
......@@ -83,13 +95,18 @@ if ($c == 0) {echo '<center>Keine Konten gefunden. Bitte schalte in deinem Userp
foot();
if(isset($_POST['waehrung']) && in_array($_POST['waehrung'], $erlaubte_schnittstellen)){
$sql = sql::$db->query("SELECT * FROM "._VMS_."_schnittstelle WHERE aktiv >= 2 AND schnittstelle='".$_POST['waehrung']."' LIMIT 1 ");
$sql = sql::$db->prepare("SELECT * FROM "._VMS_."_schnittstelle WHERE aktiv >= 2 AND schnittstelle=:waehrung LIMIT 1 ");
$sql -> bindParam(':waehrung', $_POST['waehrung'], PDO::PARAM_STR);
$sql -> execute();
$schnittstelle = $sql->fetch();
head("Auszahlen"); ?>
<form action="" method="post">
<input type="hidden" name="waehrung" value="<?php echo $_POST['waehrung']; ?>">
<?php
$multi_kontoida = sql::$db->query("SELECT kontoid FROM "._VMS_."_multi_konten WHERE uid=".$_SESSION['uid']." AND waehrung='".$_POST['waehrung']."' LIMIT 1");
$multi_kontoida = sql::$db->prepare("SELECT kontoid FROM "._VMS_."_multi_konten WHERE uid=:session_uid AND waehrung=:waehrung LIMIT 1");
$multi_kontoida -> bindParam(':session_uid', $_SESSION['uid'], PDO::PARAM_INT);
$multi_kontoida -> bindParam(':waehrung', $_POST['waehrung'], PDO::PARAM_STR);
$multi_kontoida -> execute();
if($multi_kontoida->rowCount() == 0){
echo 'Bitte lege im Userprofil deine Konto-ID fest.';
}else{
......
0% or .
You are about to add 0 people to the discussion. Proceed with caution.
Finish editing this message first!
Please register or to comment