Witam mam na swoim serverze kod bankomatu i troche sie boje ze mozna to zaatakowa?
Czy mozna wykonac sqlinjection na ten kod ?
[lua]addEvent("doATMOperation", true)
addEventHandler("doATMOperation", resourceRoot, function(kwota)
-- kwota dodatnia - wplata
-- kwota ujemna - wyplata
if kwota>0 and kwota>getPlayerMoney(client) then return end -- komunikat bledu po stronie klienta
local dbid=getElementData(client,"UID")
if not dbid then return end -- nie powinno sie zdarzyc
if kwota>0 then
if getPlayerMoney(client)<kwota then return end
takePlayerMoney(client, kwota)
exports["yc-mysql"]:ustawRekord("UPDATE ogrpg_users SET bank_money=bank_money+"..(tonumber(kwota) or 0).." WHERE id="..tonumber(dbid).." LIMIT 1")
--triggerEvent("broadcastCaptionedEvent", client, getPlayerName(client).." wp?aca pieni?dze do bankomatu", 3, 20, true)
outputChatBox("Wplaciles pieni?dze", client, 255,0,0)
elseif kwota<0 then
local sr=exports["yc-mysql"]:pobierzRekord("SELECT `bank_money` FROM `ogrpg_users` WHERE id="..tonumber(dbid).." LIMIT 1")
if not sr or not sr.bank_money then return end -- nie opwinno sie wydarzyc
sr.bank_money=tonumber(sr.bank_money)
if (sr.bank_money<math.abs(kwota)) then
outputChatBox("Nie masz tyle ?rodk?w na koncie!", client, 255,0,0)
-- triggerClientEvent(client,"o... |