Блог веб-программиста

10Авг/070

Yet Another Tip: Всегда проверяйте входные параметры

Данная статья находится в стадии написания. Не обращайте внимание на ашипки. Ани сделаны спицальна.

"Вот и все... и нету Билла... жадность Билла погубила!" - м/ф "Остров сокровищ", Россия

Вот сколько народу не говори: "Проверяйте входные параметры! Не доверяйте им! Юзер может их изменить! Особенно, если эти данные потом идут в базу!", а всё равно народ про это забывает. Вот совсем недавно. В одном казино заметил такую фишку..

Товарищ, писавший его наверное где-то встречал подобные статьи на сабж, но или они были написаны чайником для промо своего сайта, или просто этот человек плохо читать умеет. Кодер сий написал однажды интернет казино.. Увы ООПом тут и не пахнет... Даже массивы используются раза два-три за весь проект... Контент сайта инклудится из обычных файлов. Да, эти файлы нельзя просто так нагло прочитать, религия htaccess не позволяет. Да и выйти на папку выше тоже не получается, проверяется этот параметр регэкспом вида альфанумерик. Это умно, это молодец. Кое какие параметры у него даже проверяются на содержание коварных символов ",`,' .. Да... Это он конечно молодец и несмотря на всю убогость кода, этот момент он пытался(именно пытался) продумать...

Главная убогость кода в том, что он работает только при register_globals = on! Но это вряд ли поможет, ибо зачастую(не всегда, но бывает) переменные определяются ручками. Однако! Перейдем к игре...

В казино есть игры, которые просто работают через <form> и метод POST. Игрок делает ставку, нажимает и получает результат. Все вроде нормально. Однако! Кодер ЛОПУХ! Разве можно доверять входным данным? Никак нет! НИКОГДА! Я даже своей бабушке верю больше чем им! Так вот попробуем догадаться как выглядит исходник... Напишу на родном русском языке:
если ставка больше суммы_на_счету то пошел на фиг;
если все нормально играем;
если мы выиграли то сумма_на_счету=сумма_на_счету + ставка умноженная на коеффициент выигрыша в игре, если мы проиграли, то сумма_на_счету=сумма_на_счету - ставка;

Поскольку все люди жадные, особенно те, что заведуют казино, то естественно выиграть вам там не дадут.... От того мы проигрываем больше чем выигрываем. С этим все согласятся... Ну и отсюда естественный вывод. А что если нам проиграть, но с отрицательной ставкой? А? Словили фишку? Вот тут то весь и прикол. Если параметр не проверяется, то будет так:
сумма_на_счету = сумма_на_счету - отрицательная_ставка;
Кто хотя бы отдаленно был когда то в далеком детстве знаком с математикой помнит глупое правило: минус на минус дают плюс... Да! Оно тут срабатывает, ибо параметр не проверяется. Эта штука также подходит к условию, что ставка должна быть меньше либа равна суммы на счету, ибо отрицательное число всегда меньше неотрицательного:) Истина)

Вот такие вот косяки и приводят к огромным проблемам!

А теперь бонус, кусок злого кода на PHP:

PHP:

mysql_query("update users set cash=cash-'$stavka' where login='$l'"); /** Юзер проиграл */

if ($card==$tuz2) /** Юзер выиграл */

{

$priz=$stavka*3;

mysql_query("update game_bank set wmr=wmr-'$priz' where name='lloto'");

mysql_query("update users set cash=cash+'$priz' where login='$l'");

}

Послесловие:
Также, ещё одно вполне разумное умозаключение имеет место быть. Допустим у нас игра наперстки. Это три наперстка, надо угадать где приз. Скрипту может передаваться также ведь и параметр с номером выбранного наперстка. Если же он не проверяется, то заменив его допустим на номер 4 мы будим всегда проигрывать!
Естественно я об этой фигне сказал админу этого казино, которому было кстати 17! Он все закрыл и отблагодарил меня) Трави бобров.. ой.. твори добро.. во!

Внимание, данные действия могут попадать под статьи УК РФ!
Bethrezen

настроение: Довольное
слушаю: Lamb Of God - Purified

Связано с категорией: Code Оставить комментарий
Комментарии (0) Пинги (0)

Пока нет комментариев.


Leave a comment

 

Нет обратных ссылок на эту запись.