Запрет на запуск админского кода пользователем.
This commit is contained in:
lopar
parent
73a26f4241
commit
fae934f0ad
89
bank.php
89
bank.php
@ -157,25 +157,7 @@ if (!$_SESSION['bankid']) {
|
||||
}
|
||||
$_POST['change'] = 0;
|
||||
}
|
||||
if ($_POST['changeback'] && $_POST['ok']) {
|
||||
$_POST['ok'] = round($_POST['ok'], 2);
|
||||
if (is_numeric($_POST['ok']) && ($_POST['ok'] > 0) && ($_POST['ok'] <= $bank['cr'])) {
|
||||
$bank['cr'] -= $_POST['ok'];
|
||||
$bank['ekr'] += $_POST['ok'] / 500;
|
||||
$add_ekr = $_POST['ok'] / 500;
|
||||
if (mysql_query("UPDATE `bank` SET `cr`=`cr`-'" . $_POST['ok'] . "' WHERE `id`='" . $bank['id'] . "' LIMIT 1;")) {
|
||||
$mywarn = "Обмен произведен успешно";
|
||||
mysql_query("UPDATE `bank` SET `ekr`=`ekr`+'$add_ekr' WHERE `id`='" . $_SESSION['bankid'] . "' LIMIT 1;");
|
||||
$bank = mysql_fetch_array(mysql_query("SELECT * FROM `bank` WHERE `id`='" . $_SESSION['bankid'] . "';"));
|
||||
mysql_query("INSERT INTO `delo` (`id`,`author`,`pers`,`text`,`type`,`date`) VALUES ('','0','" . $_SESSION['uid'] . "','Персонаж " . $user['login'] . " обменял " . $_POST['ok'] . " кр. на " . $add_ekr . " екр. на счету №" . $_SESSION['bankid'] . " в банке. ',1,'" . time() . "');");
|
||||
} else {
|
||||
$mywarn = "Произошла ошибка!";
|
||||
}
|
||||
} else {
|
||||
$mywarn = "У вас недостаточно денег для выполнения операции";
|
||||
}
|
||||
$_POST['changeback'] = 0;
|
||||
}
|
||||
|
||||
if ($_GET['dropm']) {
|
||||
if (2 <= $bank['ekr']) {
|
||||
undressall($user['id']);
|
||||
@ -320,40 +302,36 @@ if (!$_SESSION['bankid']) {
|
||||
}
|
||||
|
||||
if ($_POST['wu'] && $_POST['sum'] && $_POST['number']) {
|
||||
if ($user['align'] == 4) {
|
||||
$mywarn = "Хаосникам переводы запрещены!";
|
||||
} else {
|
||||
$bank2 = mysql_fetch_array(mysql_query("SELECT * FROM `bank` WHERE `id`='" . $_POST['number'] . "';"));
|
||||
$to = mysql_fetch_array(mysql_query("SELECT login FROM `users` WHERE `id`='" . $bank2['owner'] . "';"));
|
||||
if ($bank2[0]) {
|
||||
$_POST['sum'] = round($_POST['sum'], 2);
|
||||
if (is_numeric($_POST['sum']) && ($_POST['sum'] > 0)) {
|
||||
$nalog = round($_POST['sum'] * 0.03);
|
||||
if ($nalog < 1) {
|
||||
$nalog = 1;
|
||||
}
|
||||
$new_sum = $_POST['sum'] + $nalog;
|
||||
if ($new_sum <= $bank['cr']) {
|
||||
if (mysql_query("UPDATE `bank` SET `cr`=`cr`-'" . $new_sum . "' WHERE `id`='" . $_SESSION['bankid'] . "' LIMIT 1;")) {
|
||||
mysql_query("UPDATE `bank` SET `cr`=`cr`+'" . $_POST['sum'] . "' WHERE `id`='" . $_POST['number'] . "' LIMIT 1;");
|
||||
$bank = mysql_fetch_array(mysql_query("SELECT * FROM `bank` WHERE `id`='" . $_SESSION['bankid'] . "';"));
|
||||
mysql_query("INSERT INTO `delo` (`id`,`author`,`pers`,`text`,`type`,`date`) VALUES ('','0','" . $_SESSION['uid'] . "','Персонаж " . $user['login'] . " перевел со своего банковского счета №" . $_SESSION['bankid'] . " на счет №" . $_POST['number'] . " к персонажу " . $to['login'] . " " . $_POST['sum'] . " кр. Дополнительно снято " . $nalog . " кр. за услуги банка ',1,'" . time() . "');");
|
||||
mysql_query("INSERT INTO `delo` (`id`,`author`,`pers`,`text`,`type`,`date`) VALUES ('','0','" . $bank2['owner'] . "','Персонаж " . $user['login'] . " перевел со своего банковского счета №" . $_SESSION['bankid'] . " на счет №" . $_POST['number'] . " к персонажу " . $to['login'] . " " . $_POST['sum'] . " кр. Дополнительно снято " . $nalog . " кр. за услуги банка ',1,'" . time() . "');");
|
||||
$sum = $_POST['sum'];
|
||||
$schet = $_POST['number'];
|
||||
$mywarn = "$sum кр. успешно переведены на счет № $schet";
|
||||
} else {
|
||||
$mywarn = "Произошла ошибка!";
|
||||
}
|
||||
$bank2 = mysql_fetch_array(mysql_query("SELECT * FROM `bank` WHERE `id`='" . $_POST['number'] . "';"));
|
||||
$to = mysql_fetch_array(mysql_query("SELECT login FROM `users` WHERE `id`='" . $bank2['owner'] . "';"));
|
||||
if ($bank2[0]) {
|
||||
$_POST['sum'] = round($_POST['sum'], 2);
|
||||
if (is_numeric($_POST['sum']) && ($_POST['sum'] > 0)) {
|
||||
$nalog = round($_POST['sum'] * 0.03);
|
||||
if ($nalog < 1) {
|
||||
$nalog = 1;
|
||||
}
|
||||
$new_sum = $_POST['sum'] + $nalog;
|
||||
if ($new_sum <= $bank['cr']) {
|
||||
if (mysql_query("UPDATE `bank` SET `cr`=`cr`-'" . $new_sum . "' WHERE `id`='" . $_SESSION['bankid'] . "' LIMIT 1;")) {
|
||||
mysql_query("UPDATE `bank` SET `cr`=`cr`+'" . $_POST['sum'] . "' WHERE `id`='" . $_POST['number'] . "' LIMIT 1;");
|
||||
$bank = mysql_fetch_array(mysql_query("SELECT * FROM `bank` WHERE `id`='" . $_SESSION['bankid'] . "';"));
|
||||
mysql_query("INSERT INTO `delo` (`id`,`author`,`pers`,`text`,`type`,`date`) VALUES ('','0','" . $_SESSION['uid'] . "','Персонаж " . $user['login'] . " перевел со своего банковского счета №" . $_SESSION['bankid'] . " на счет №" . $_POST['number'] . " к персонажу " . $to['login'] . " " . $_POST['sum'] . " кр. Дополнительно снято " . $nalog . " кр. за услуги банка ',1,'" . time() . "');");
|
||||
mysql_query("INSERT INTO `delo` (`id`,`author`,`pers`,`text`,`type`,`date`) VALUES ('','0','" . $bank2['owner'] . "','Персонаж " . $user['login'] . " перевел со своего банковского счета №" . $_SESSION['bankid'] . " на счет №" . $_POST['number'] . " к персонажу " . $to['login'] . " " . $_POST['sum'] . " кр. Дополнительно снято " . $nalog . " кр. за услуги банка ',1,'" . time() . "');");
|
||||
$sum = $_POST['sum'];
|
||||
$schet = $_POST['number'];
|
||||
$mywarn = "$sum кр. успешно переведены на счет № $schet";
|
||||
} else {
|
||||
$mywarn = "У вас недостаточно денег на счету для выполнения операции";
|
||||
$mywarn = "Произошла ошибка!";
|
||||
}
|
||||
} else {
|
||||
$mywarn = "У вас недостаточно денег на счету для выполнения операции";
|
||||
}
|
||||
} else {
|
||||
$mywarn = "Данные о счете получателя не найдены.";
|
||||
$mywarn = "У вас недостаточно денег на счету для выполнения операции";
|
||||
}
|
||||
} else {
|
||||
$mywarn = "Данные о счете получателя не найдены.";
|
||||
}
|
||||
$_POST['wu'] = 0;
|
||||
}
|
||||
@ -413,6 +391,25 @@ if (!$_SESSION['bankid']) {
|
||||
}
|
||||
}
|
||||
###
|
||||
if ($_POST['changeback'] && $_POST['ok'] && (!empty($user['admin']))) {
|
||||
$_POST['ok'] = round($_POST['ok'], 2);
|
||||
if (is_numeric($_POST['ok']) && ($_POST['ok'] > 0) && ($_POST['ok'] <= $bank['cr'])) {
|
||||
$bank['cr'] -= $_POST['ok'];
|
||||
$bank['ekr'] += $_POST['ok'] / 500;
|
||||
$add_ekr = $_POST['ok'] / 500;
|
||||
if (mysql_query("UPDATE `bank` SET `cr`=`cr`-'" . $_POST['ok'] . "' WHERE `id`='" . $bank['id'] . "' LIMIT 1;")) {
|
||||
$mywarn = "Обмен произведен успешно";
|
||||
mysql_query("UPDATE `bank` SET `ekr`=`ekr`+'$add_ekr' WHERE `id`='" . $_SESSION['bankid'] . "' LIMIT 1;");
|
||||
$bank = mysql_fetch_array(mysql_query("SELECT * FROM `bank` WHERE `id`='" . $_SESSION['bankid'] . "';"));
|
||||
mysql_query("INSERT INTO `delo` (`id`,`author`,`pers`,`text`,`type`,`date`) VALUES ('','0','" . $_SESSION['uid'] . "','Персонаж " . $user['login'] . " обменял " . $_POST['ok'] . " кр. на " . $add_ekr . " екр. на счету №" . $_SESSION['bankid'] . " в банке. ',1,'" . time() . "');");
|
||||
} else {
|
||||
$mywarn = "Произошла ошибка!";
|
||||
}
|
||||
} else {
|
||||
$mywarn = "У вас недостаточно денег для выполнения операции";
|
||||
}
|
||||
$_POST['changeback'] = 0;
|
||||
}
|
||||
|
||||
err($mywarn);
|
||||
?>
|
||||
|
||||
Loading…
Reference in New Issue
Block a user